MAAGMTIC2010

DOF: 13/07/2010
ACUERDO por el que se expide el Manual Administrativo

de Aplicación General en Materia de Tecnologías de la
Información y Comunicaciones (Continúa en la Segunda
Sección)
ACUERDO por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la
Información y Comunicaciones (Continúa de la Primera Sección) DOF: 13/07/2010
ACUERDO por el que se modifica el diverso por el que se expide el Manual Administrativo de Aplicación General
en Materia de Tecnologías de la Información y Comunicaciones, y se establecen las disposiciones administrativas
en esa materia. DOF: 06/09/2011
ACUERDO por el que se reforma y adiciona el diverso por el que se establecen las disposiciones administrativas en
materia de tecnologías de la información y comunicaciones, y se expide el Manual Administrativo de Aplicación
General en esa materia y en la de Seguridad de la Información. DOF: 29/11/2011
ACUERDO por el que se reforma y adiciona el diverso por el que se establecen las disposiciones administrativas en
materia de tecnologías de la información y comunicaciones y de seguridad de la información, y se expide el Manual
Administrativo de Aplicación General en esas materias. DOF: 22/08/2012
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de
la Función Pública.
SALVADOR VEGA CASILLAS, Secretario de la Función Pública, con fundamento en lo dispuesto
por el artículo 37, fracciones VI y XXVI de la Ley Orgánica de la Administración Pública Federal; 1 y 6,
fracciones I y XXIV del Reglamento Interior de la Secretaría de la Función Pública, y
CONSIDERANDO
Que el Plan Nacional de Desarrollo 2007-2012, establece como estrategia para lograr el objetivo 10
del Eje Rector "Estado de Derecho y Seguridad", la ampliación de los programas de simplificación
administrativa y mejora regulatoria en toda la administración pública, procurando que los cambios
tengan un impacto directo en el combate a la discrecionalidad, la arbitrariedad o la corrupción;
Que en ese sentido, el Programa Especial de Mejora de la Gestión en la Administración Pública
Federal 2008-2012, en su estrategia 2.3 "Simplificar la regulación que rige a las instituciones y su
interacción con la sociedad", establece como una línea de acción, mejorar el marco normativo de las
instituciones a través del proceso de calidad regulatoria para lograr mayor agilidad, certidumbre y
menores costos de operación para la institución y los particulares;
Que asimismo el referido Programa, reconoce como postulado para mejorar la gestión de las
instituciones, reformar el marco regulatorio de aplicación obligatoria a toda la Administración Pública
Federal, mediante las estrategias tendientes a simplificar la regulación que rige a las instituciones y su
interacción con la sociedad, así como a mejorar las políticas, normas y disposiciones de carácter general
que emiten las instancias globalizadoras o instituciones coordinadoras de sector;
Que el Ejecutivo Federal, en su mensaje dirigido a la Nación con motivo de la presentación al H.
Congreso de la Unión del Tercer Informe de Gobierno, se comprometió a llevar a cabo un proceso de
desregulación a fondo de la normatividad de la Administración Pública Federal, con el objetivo de reducir
y simplificar al máximo las disposiciones administrativas, eliminar toda aquella regulación, requisitos,
duplicidad de información y trámites innecesarios que permitan consolidar un régimen de certidumbre
jurídica, en donde la plena eficacia de las normas aplicables a particulares y a gobernantes, les
garantice el ejercicio pleno de sus derechos y libertades. Este proceso de desregulación implica dejar
sin efectos una de cada dos disposiciones;
Que la Secretaría a mi cargo cuenta con atribuciones para organizar y coordinar el
desarrollo administrativo integral de las dependencias y entidades de la Administración Pública Federal,
a fin de que los recursos humanos, patrimoniales y los procedimientos técnicos de la misma, sean
aprovechados y aplicados con criterios de eficiencia, buscando en todo momento la eficacia,
descentralización, desconcentración y simplificación administrativa, así como para realizar o
encomendar las investigaciones, estudios y análisis que al efecto se requieran, y dictar las disposiciones
administrativas correspondientes para las propias dependencias y entidades;
Que en este sentido, el Ejecutivo Federal instruyó a esta Secretaría para emitir, por sí o con
la participación de las dependencias competentes, disposiciones, políticas o estrategias, acciones o
criterios de carácter general y procedimientos uniformes para la Administración Pública Federal y, en lo
conducente, para la Procuraduría General de la República en materia de auditoría; adquisiciones,
arrendamientos y servicios del sector público; control interno; obra pública y servicios relacionados con
las mismas; recursos humanos; recursos materiales; recursos financieros; tecnologías de la información
y comunicaciones, y de transparencia y rendición de cuentas, y que las dependencias y entidades así
como la citada Procuraduría procedan a dejar sin efectos todas aquellas disposiciones, lineamientos,
oficios circulares, procedimientos y demás instrumentos normativos emitidos al interior de sus
instituciones, en esas materias;
Que en este contexto, se revisó el marco jurídico aplicable en materia de tecnologías de la
información y comunicaciones,para identificar aquellas disposiciones o procedimientos, tanto de carácter
general como interno, que en la actualidad no garantizan procesos, trámites y servicios eficaces;
Que el presente Acuerdo tiene por objeto establecer las disposiciones administrativas en materia
de tecnologías de la información y comunicaciones que se deberán observar en el ámbito de la
Administración Pública Federal y, en lo conducente, en la Procuraduría General de la República, como
parte de la estrategia de gobierno digital orientada a coordinar las políticas y programas en esa materia,
para homologar y armonizar reglas y acciones definidas y contar con procesos uniformes para el
aprovechamiento y aplicación eficiente de las tecnologías de la información y comunicaciones, lo que
redundará en el mejoramiento de las políticas y normas de aplicación general y, en consecuencia, en el
incremento de la efectividad de lasinstituciones públicas, he tenido a bien emitir el siguiente
ACUERDO
CAPITULO I
Objeto, Ambito de Aplicación y Definiciones
Artículo Primero.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas
en materia de tecnologías de la información y comunicaciones, y expedir el Manual Administrativo de
Aplicación General en Materia de Tecnologías de la Información y Comunicaciones, que en términos del
Anexo Unico del presente Acuerdo, forma parte integrante del mismo.
El Manual a que se refiere el párrafo anterior contiene las reglas, acciones y procesos que en
materia de tecnologías de la información y comunicaciones deberán observar de manera obligatoria, las
dependencias y entidades de la Administración Pública Federal y, cuando corresponda, la Procuraduría
General de la República.
Artículo Segundo.- Para los efectos del presente Acuerdo, se entiende por:
I. Dependencias: las secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y
la Consejería Jurídica del Ejecutivo Federal, así como las unidades administrativas de la Presidencia de
la República, conforme a lo dispuesto en la Ley Orgánica de la Administración Pública Federal. La
Procuraduría General de la República será considerada con este carácter en lo que el
Manual Administrativo de Aplicación General en Materia de Tecnologías de laInformación y
Comunicaciones le resulte aplicable conforme a lo previsto en su Ley Orgánica;
II. Entidades: los organismos públicos descentralizados, empresas de participación estatal mayoritaria y
fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la
Ley Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública
Federal Paraestatal;
III. Manual: el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y
Comunicaciones, el cual se integra de diversos procesos asociados con las tecnologías de
la información y comunicaciones;
IV. Secretaría o SFP: la Secretaría de la Función Pública;
V. TIC: las tecnologías de la información y comunicaciones, y
VI. Unidad: la Unidad de Gobierno Digital de la Secretaría.
CAPITULO II
De los Responsables de su Aplicación
Artículo Tercero.- Los titulares de las dependencias y entidades, en el ámbito de sus
respectivas atribuciones, realizarán las acciones que estimen necesarias para que se cumpla de manera
estricta lo dispuesto en el presente Acuerdo.
Artículo Cuarto.- Los titulares de las dependencias y entidades, en el ámbito de sus

respectivas atribuciones, instruirán lo conducente para que se dejen sin efecto los acuerdos, normas,
lineamientos, oficios circulares y demás disposiciones o procedimientos de carácter interno que se
hubieren emitido en materia de tecnologías de la información y comunicaciones que no deriven de
facultades expresamente previstas en leyes y reglamentos.
Artículo Quinto.- La aplicación del Manual corresponde a las áreas o unidades
administrativas responsables en las dependencias y entidades de las TIC, así como a los servidores
públicos cuyas atribuciones o funciones se vinculen con las TIC.
CAPITULO III
Procesos
Artículo Sexto.- Con el propósito de armonizar y homologar las actividades que en materia de
TIC realizan las dependencias y entidades, en el Manual se identifican los procesos correspondientes
que se regirán por lo dispuesto en las disposiciones jurídicas aplicables y el propio Manual.
CAPITULO IV
Interpretación, Seguimiento y Vigilancia
Artículo Séptimo.- La interpretación del presente Acuerdo y del Manual, para efectos
administrativos, así como la resolución de los casos no previstos en el mismo, corresponde a la
Secretaría, a través de la Unidad.
Artículo Octavo.- Los procesos y procedimientos contenidos en el Manual a que se refiere el
presente Acuerdo deberán revisarse, cuando menos una vez al año, por la Secretaría, a través de la
Unidad, para efectos de su actualización.
Artículo Noveno.- Los órganos internos de control de las dependencias y entidades, vigilarán
el cumplimiento de lo dispuesto por el presente Acuerdo.
Asimismo, los referidos órganos internos de control deberán verificar que las dependencias y
entidades lleven a cabo las acciones que procedan con el propósito de que queden sin efectos todas
aquellas disposiciones que contravengan o dupliquen lo dispuesto en el Manual, que no se encuentren
contenidas o que su emisión no se encuentre prevista en leyes y reglamentos.
TRANSITORIOS
Primero.- El presente Acuerdo entrará en vigor a los 20 días hábiles siguientes al de su publicación
en el Diario Oficial de la Federación.
Las dependencias y entidades de la Administración Pública Federal y la Procuraduría General de
la República contarán con un plazo de 20 días hábiles a partir de la fecha de publicación en el Diario
Oficial de la Federación del presente ordenamiento, para efectos de lo previsto en los artículos Cuarto y
Noveno, segundo párrafo del presente Acuerdo.
Segundo.- Todos aquellos procesos, trámites, autorizaciones y actos iniciados con base en
las disposiciones y procedimientos que quedan sin efectos deberán concluirse conforme a lo previsto en
los mismos.
Tercero.- Las dependencias y entidades que hayan realizado acciones de mejora funcional
y sistematización integral de los procesos en materia de tecnologías de la información y comunicaciones
podrán operar con sus procedimientos optimizados, siempre que acrediten ante la Unidad de Gobierno
Digital de la
Secretaría de la Función Pública, que los mismos son compatibles con los establecidos en el Manual.
Cuarto.- El cumplimiento a lo establecido en el presente Acuerdo se realizará con los recursos
humanos, materiales y presupuestarios que tengan asignados las dependencias y entidades de la
Administración Pública Federal y la Procuraduría General de la República, por lo que no implicará la
creación de estructuras ni la asignación de recursos adicionales.
Quinto.- Para efectos de lo previsto en el artículo primero de este Acuerdo, las dependencias y
entidades a más tardar en la fecha de entrada en vigor del presente ordenamiento, presentarán ante la
Unidad de Gobierno Digital, un cronograma del inicio de aquellas actividades que en materia de
tecnologías de la información y comunicaciones se contemplan en los procesos establecidos en el
Manual, para su aprobación y registro.
Sufragio Efectivo. No Reelección.
México, Distrito Federal, a los siete días del mes de julio de dos mil diez.- El Secretario de la
Función Pública, Salvador Vega Casillas.- Rúbrica.
ANEXO UNICO
DEL ACUERDO POR EL QUE SE EXPIDE EL MANUAL ADMINISTRATIVO DE APLICACION
GENERAL
EN MATERIA DE TECNOLOGIAS DE LA INFORMACION Y COMUNICACIONES.
1. CONTENIDO
CONTENIDO
1 DEFINICIONES Y TERMINOS
2 OBJETIVOS
2.1 General
2.2 Específicos
3 AMBITO DE APLICACION/ALCANCE
4 MARCO JURIDICO
5 PROCESOS EN MATERIA DE TIC
5.1 DIRECCION
5.1.1 Establecimiento del modelo de gobernabilidad de TIC
5.1.1.1 Objetivos del proceso
5.1.1.2 Descripción del proceso
5.1.1.2.1 Descripción de las actividades del proceso
5.1.1.2.2 Mapa general del proceso
5.1.1.2.3 Descripción de roles
5.1.1.3 Indicadores
5.1.1.4 Reglas del proceso
5.1.1.5 Documentación soporte del proceso
5.1.2 Planeación estratégica de TIC
5.1.2.3 Indicadores
5.1.3 Determinación de la dirección tecnológica
5.1.3.3 Indicadores

5.2. CONTROL
5.2.1. Administración de la evaluación de TIC
5.2.1.3 Indicadores
5.2.2 Administración de riesgos de TIC
5.2.2.3 Indicadores
5.3 ADMINISTRACION DE PROYECTOS
5.3.1 Administración del portafolio de proyectos de TIC
5.3.1.3 Indicadores
5.3.2. Administración de proyectos de TIC
5.3.2.1 Objetivo general del proceso
5.3.2.3 Indicadores

5.4 ADMINISTRACION DE PROCESOS
5.4.1. Operación del sistema de gestión y mejora de los procesos de la UTIC
5.4.1.3 Indicadores
5.5. ADMINISTRACION DE RECURSOS
5.5.1. Administración del presupuesto de TIC
5.5.1.3 Indicadores
5.5.2 Administración de proveedores de productos y servicios de TIC
5.5.2.3 Indicadores
5.5.3 Administración de adquisiciones de TIC
5.5.3.3 Indicadores
5.5.3.5 Documentación soporte al proceso
5.6 ADMINISTRACION DE SERVICIOS

5.6.1 Administración del portafolio de servicios de TIC
5.6.1.3 Indicadores
5.6.2 Diseño de servicios de TIC
5.6.2.3 Indicadores
5.7 ADMINISTRACION Y DESARROLLO DE SOLUCIONES
5.7.1 Definición de requerimientos de soluciones
5.7.1.3 Indicadores
5.7.2 Desarrollo de soluciones tecnológicas
5.7.2.3 Indicadores
5.7.3 Calidad de soluciones tecnológicas

5.7.3.3 Indicadores
5.8 TRANSICION Y ENTREGA
5.8.1 Administración de cambios
5.8.1.3 Indicadores
5.8.2 Liberación y entrega
5.8.2.3 Indicadores
5.8.3 Transición y habilitación de la operación
5.8.3.3 Indicadores
5.8.4 Administración de la configuración
5.8.4.2. Descripción del proceso

5.8.4.3 Indicadores
5.9. OPERACION DE SERVICIOS
5.9.1 Operación de la mesa de servicios
5.9.1.3 Indicadores
5.9.2 Administración de servicios de terceros
5.9.2.3 Indicadores
5.9.3. Administración de niveles de servicio
5.9.3.1. Objetivos del proceso
5.9.3.2. Descripción del proceso
5.9.3.3 Indicadores
5.9.4 Administración de la seguridad de los sistemas informáticos

5.9.4.3 Indicadores
5.10 ADMINISTRACION DE ACTIVOS
5.10.1 Administración de dominios tecnológicos
5.10.1.3 Indicadores
5.10.2 Administración del conocimiento
5.10.3 Integración y desarrollo de personal
5.11 OPERACIONES
5.11.1 Administración de la operación

5.11.2 Administración de ambiente físico
5.11.3 Mantenimiento de infraestructura
6 Notación utilizada en los diagramas de flujo de información y de actividades
1. DEFINICIONES Y TERMINOS
CONCEPTO DEFINICION / SIGNIFICADO
Activo de TIC: La información, base de datos, programa de cómputo, bien informático

físico,solución tecnológica, sistema o aplicativo, relacionados con el
tratamiento de la misma; que tengan valor para la Institución.
Ambiente de trabajo: El conjunto de herramientas, utilerías, programas, aplicaciones,

información,facilidades y organización que un usuario tiene disponible
para el desempeño de sus funciones de manera controlada, de acuerdo
con los accesos y privilegios que tenga asignados por medio de una
identificación única y una contraseña.
Análisis de los riesgos: El uso sistemático de la información para identificar las fuentes
devulnerabilidades y amenazas a los activos de TIC, efectuar la
evaluación de su magnitud o impacto y estimar los recursos necesarios
para eliminarlas omitigarlas.
Autenticación: El proceso que tiene por objetivo asegurar la identificación de un

usuario.
Autenticidad: El proceso mediante el cual se puede asegurar que un mensaje pueda
serinterpretado, validando que fue realmente creado por el titular de
un certificado digital y/o que está reconociendo como propio su
contenido.
Certificado digital: El registro electrónico de datos que garantiza la autenticidad de los
datos deidentidad del titular del certificado.
Cifrado: La acción que permite, mediante técnicas matemáticas, codificar datos

paraproteger su confidencialidad, garantiza su integridad.
Confidencialidad: La característica o propiedad por cual la información está disponible o

esrevelada a individuos o procesos autorizados.
Cuenta: El identificador único y personal compuesto por el nombre del

servidor público de la Institución y una contraseña con el propósito de
acceder a recursos o servicios de TIC.
Datos personales: La información concerniente a una persona física, identificada o

identificable,entre otra, la relativa a su origen étnico o racial, o que esté
referida a lascaracterísticas físicas, morales o emocionales, a su vida
afectiva y familiar,domicilio, número telefónico, patrimonio, ideología y
opiniones políticas,creencias o convicciones religiosas o filosóficas, los
estados de salud físicoso mentales, las preferencias sexuales, u otras
análogas que afecten suintimidad.
Declaración de El documento que enumera los controles aplicados por el SGSI de
aplicabilidad: laInstitución, tras el resultado de los procesos de Evaluación y
tratamiento deriesgos, así como su justificación, selección y exclusión de
los mismos (delinglés: Statement of Applicability, SoA).
Disponibilidad: La característica o propiedad de la información, de permanecer

accesible para su uso cuando lo requieran individuos o procesos
autorizados.
Documento electrónico El instrumento que contiene datos y/o información, enviada, recibida
gubernamental: oalmacenada por dispositivos de TIC, que usa la firma electrónica
avanzadapara autenticar la información que se intercambia entre los
sistemas oaplicativos de las Instituciones. Esta información puede
consistir en acuerdos, actas, atentas notas, cartas, circulares,
dictámenes, informes, invitaciones, memorandos, minutas, notas
informativas, oficios, solicitudes y volantes, así como los archivos que se
adjunten.
Entregable: El producto adquirido, desarrollado o personalizado, con

característicascuantificables y medibles en términos de su valor,
integralidad, funcionalidad y capacidades.
Estrategia Las líneas de acción definidas para establecer en el ámbito de

laAdministración Pública Federal y de la Procuraduría General de la
República, la política de gobierno digital orientada al ordenamiento de
TIC, la cual estásustentada en un marco rector de procesos diseñado
con base en lasmejores prácticas nacionales e internacionales en
materia de TIC.
Evento La alerta o notificación creada por un servicio de TI, elemento de configuración o herramienta de
monitorización. Los eventos requieren normalmente que el personal de operaciones de TI tome acciones, y
a menudo conllevan al registro de incidentes.
Firma Los datos en forma electrónica que permiten la identificación de titular

ElectrónicaAvanzada: delcertificado digital correspondiente; ha sido creada por medios
electrónicosbajo exclusivo control del titular, de manera que está
vinculada únicamente almismo y a los datos a los que refiere.
Funcionalidad: Las características de un servicio de TIC que permiten que cubra

lasnecesidades o requerimientos de un usuario.
Gestión de riesgos: La identificación, valoración, y ejecución de acciones para el control

yminimización, de los riesgos de TIC que afecten a la información de
laInstitución.
Gobernabilidad: Coordinación de acciones orientadas a la dirección y el control, con

una visión estratégica, esta coordinación se habilita por medio de una
toma de decisiones estratégica oportuna e informada;
Gobierno digital: Las políticas, acciones y criterios para el uso y aprovechamiento de

lastecnologías de información y comunicaciones, con la finalidad de
mejorar laentrega de servicios al ciudadano; la interacción del gobierno
con la industria; facilitar el acceso del ciudadano a la información de
éste, así como hacer más eficiente la gestión gubernamental para un
mejor gobierno y facilitar la interoperabilidad entre las Instituciones.
Incidente: La interrupción no planificada de un servicio de TIC o reducción en la calidad de un servicio de TIC.

Infraestructura de TIC: El hardware, software, redes e instalaciones requeridas para
desarrollar,probar, proveer, monitorizar, controlar o soportar los servicios
de TIC. Eltérmino infraestructura de TIC incluye todas las TIC pero no
las personas,procesos y documentación asociados.
Institución (es): Las dependencias y entidades de la Administración Pública Federal,

así como la Procuraduría General de la República;
Integridad: Mantener la exactitud y corrección de la información y sus métodos

deproceso.
Interoperabilidad: La capacidad del hardware, software, sistemas o aplicativos,

solucionestecnológicas de interactuar y/o intercambiar datos.
Marco rector de El conjunto de procesos tendientes a la homologación de la gestión

procesosen materia de interna de las UTIC, así como a eficientar la elaboración y entrega de
TIC: servicios digitales al ciudadano y los mecanismos de medición del
desempeño de los procesos.
Mesa de servicios: El punto de contacto único, en el cual se reciben las solicitudes de

serviciosde los usuarios de TIC.
Plan de contingencia: El documento en el que se plantea la estrategia, los servidores
públicos y lasactividades requeridas, para recuperar por completo o
parcialmente unservicio o proceso crítico, en caso de desastre,
derivado de que se presenteun riesgo.
Problemas: El evento o incidente del cual se plantea una solución alterna, no se

tieneconocimiento de su origen y se espera de una solución
definitiva.
Recursos de TIC: La infraestructura, activos, personal especializado, presupuesto y
cualquierotro elemento de TIC.
Repositorio: El espacio en medio magnético donde se almacena y mantiene

la información digital, habitualmente bases de datos o archivos
informáticos.
Requerimientosfuncionales: La característica que requiere cumplir un producto o entregable
asociado auna función en un proceso o servicio automatizado, o por
automatizar.
Riesgo: La amenaza sobre los activos de TIC, al presentarse puede causar
unapérdida o daño sobre éstos, puede ser producto de una
vulnerabilidad y debepreverse su mitigación.
Rol: Los papeles que se desempeñan en la UTIC en los procesos

del "Marco rector de procesos en materia de TIC". A cada papel que
se define se le asignan diversas actividades, con independencia de
aquéllas que por su cargo deba desempeñar el servidor público al
que se asigna un determinado rol.
Seguridad de La capacidad de preservación de la confidencialidad, integridad

lainformación: ydisponibilidad de la información.
Servicios: Actividades que desarrollan o coordinan las UTIC encaminadas a

lasatisfacción de las necesidades que en materia de TIC requieren
las unidades responsables.
Sistema o aplicativo: El conjunto de componentes o programas construidos con
herramientas desoftware que habilitan una funcionalidad o
automatizan un proceso, deacuerdo a requerimientos previamente
definidos.
Software de códigoabierto: El software cuya licencia asegura que el código pueda ser modificado
ymejorado por cualquier persona o grupo de personas con las
habilidadescorrectas, el conocimiento es de dominio público.
Tarjeta Inteligente: El instrumento que contiene un dispositivo electrónico de

almacenamiento deinformación para autenticación de usuarios.
Titular de un La persona que obtiene un certificado digital de firma electrónica

certificadodigital: avanzada.
Unidad responsable: Las unidades administrativas de la Institución que para el desarrollo

de susfunciones requieren de los servicios que proporciona la UTIC.
Usuarios: Los servidores públicos que en el desempeño de sus funciones

hacen uso de los servicios de TIC.
Validación: La actividad que asegura que un servicio de TIC, proceso, plan u

otroproducto o entregable nuevo o modificado satisface las
necesidades delnegocio.
Verificación: La actividad que permite revisar si un servicio de TIC, plan, proceso

ocualquier otro producto o entregable, está completo y acorde con
suespecificación de diseño.
Vulnerabilidad: La debilidad en la seguridad de la información dentro de una
organización que potencialmente permite que una amenaza afecte a un
activo de TIC.
ACRONIMO DEFINICION / SIGNIFICADO
AA: El grupo de procesos de Administración de activos del "Marco rector

deprocesos en materia de TIC". Agrupa los siguientes procesos: ADT,
ACNC eIDP.
AAF: El proceso de Administración de ambiente físico, del "Marco rector

deprocesos en materia de TIC".
ACMB: El proceso de Administración de cambios, del "Marco rector de procesos

enmateria de TIC".
ACNC: El proceso de Administración del conocimiento, del "Marco rector

de procesos en materia de TIC".
ACNF: El proceso de Administración de la configuración, del "Marco rector

ADT: El proceso de Administración de dominios tecnológicos, del "Marco

rector deprocesos en materia de TIC".
ADTI: El proceso de Adquisiciones de TIC, del "Marco rector de procesos
en materia de TIC".
AE: El proceso de Administración de la evaluación, de TIC del "Marco rector

ANS: El proceso de Administración de niveles de servicio, del "Marco rector

AO: El proceso de Administración de la operación, del "Marco rector de

procesosen materia de TIC".
AP: El grupo de procesos de administración de procesos del "Marco rector

deprocesos en materia de TIC". El cual contiene el proceso OSGP.
APP: El proceso de Administración del portafolio de proyectos de TIC,

del "Marcorector de procesos en materia de TIC".
APPS: El proceso de Administración de proveedores de productos y servicios

deTIC, del "Marco rector de procesos en materia de TIC".
APS: El proceso de Administración del portafolio de servicios de TIC,

del "Marcorector de procesos en materia de TIC".
APT: El proceso de Administración del presupuesto de TIC del "Marco rector

APTI: El proceso de Administración de proyectos de TIC, del "Marco rector

AR: El grupo de procesos de Administración de recursos, del "Marco rector

deprocesos en materia de TIC". Agrupa los siguientes procesos: APT,
APPS yADTI.
ARTI: El proceso de Administración de riesgos de TIC, del "Marco rector

AS: El grupo de procesos de administración de servicios, del "Marco rector

deprocesos en materia de TIC". Agrupa los siguientes procesos: APS y
DSTI.
ASSI: El proceso de Administración de la seguridad de los sistemas
informáticos, del"Marco rector de procesos en materia de TIC".
AST: El proceso de Administración de servicios de terceros, del "Marco rector

CMDB: La base de datos de administración de la configuración, la cual se

utiliza para almacenar registros de elementos de la configuración
durante su ciclo de vida (Configuration Management Database, CMDB
por sus siglas en inglés).
CMMI : El modelo de evaluación de los procesos de TIC en una

organización,(Capability Maturity Model Integration, CMMI por sus siglas
en inglés).
CN: El grupo de procesos de Control del "Marco rector de procesos en
materia de TIC". Agrupa los siguientes procesos: AE, CR y ARTI.
COBIT : El marco de referencia de mejores prácticas en TIC (Control Objectives

forInformation and related Technology por sus siglas en inglés).
CST: El proceso de Calidad de soluciones tecnológicas, del "Marco rector
DA: El grupo de procesos de Desarrollo de soluciones del "Marco rector

deprocesos en materia de TIC". Agrupa los siguientes procesos:
DRS, DST yCST.
DDT: El proceso de Determinación de la dirección tecnológica, del "Marco

rector de procesos en materia de TIC".
DR: El grupo de procesos de Dirección del "Marco rector de procesos en

materiade TIC". Agrupa los siguientes procesos: EMG y PE.
DRS: El proceso de Definición de requerimientos de soluciones, del "Marco

rectorde procesos en materia de TIC".
DST: El proceso de Desarrollo de soluciones tecnológicas, del "Marco rector

DSTI: El proceso de Diseño de servicios de TIC, del "Marco rector de procesos

enmateria de TIC".
EMG: El proceso de Establecimiento del modelo de gobernabilidad de TIC,

del "Marco rector de procesos en materia de TIC".
IDP: El proceso de Integración y desarrollo de personal, del "Marco rector

LE: El proceso de Liberación y entrega, del "Marco rector de procesos

en materia de TIC".
MI: El proceso de Mantenimiento de infraestructura, del "Marco rector

OLA: El acuerdo de nivel operativo que se suscribe entre la UTIC y las

áreasinternas de una Institución. (Operating Level Agreement, OLA por
sus siglasen inglés).
OMS: El proceso de Operación de la mesa de servicios, del "Marco rector

OP: El grupo de procesos de Operaciones del "Marco rector de procesos

enmateria de TIC". Agrupa los siguientes procesos: AO, AAF y MI.
OS: El grupo de procesos de Operación de servicios del "Marco rector

deprocesos en materia de TIC". Agrupa los siguientes procesos: OMS,
AST,ANS y ASI.
OSGP: El proceso de Operación del sistema de gestión y mejora de los

procesos dela UTIC, del "Marco rector de procesos en materia de TIC".
PE: El proceso de Planeación estratégica de TIC, del "Marco rector de

PETIC: Plan/Programa Estratégico de Tecnologías de la Información

yComunicaciones que anualmente elaboran las Instituciones a través de
suUTIC.
PR: El grupo de procesos de Proyectos del "Marco rector de procesos
en materia de TIC". Agrupa los siguientes procesos: APP y APTI.
SFP: Secretaría de la Función Pública.
SGSI: Sistema de Gestión de Seguridad de la Información, parte de un

sistema global de gestión que basado en el análisis de riesgos,
establece, implementa, opera, monitorea, revisa, mantiene y mejora la
seguridad de la información.
SLA: El acuerdo o acuerdos de niveles de servicio de una solución tecnológica

oservicio de TIC (Service Level Agreement por sus siglas en inglés).
SoA: Los elementos de control de seguridad de la información utilizado para

elestablecimiento del SGSI en el "Marco rector de proceso en materia de
TIC"(Statement of applicability por sus siglas en inglés).
TE: El grupo de procesos de Transición y entrega del "Marco rector de

procesosen materia de TIC". Agrupa los siguientes procesos: ACMB, LE,
THO y ACNF.
THO: El proceso de Transición y habilitación de la operación del "Marco rector

TIC: Las Tecnologías de la Información y Comunicaciones.
UC: Los contratos de soporte en el que se establecen los niveles de servicio,

enun SLA.
UGD: La Unidad de Gobierno Digital de la Secretaría de la Función Pública.
UTIC: La unidad administrativa en las Instituciones, responsable de proveer

deinfraestructura y servicios de tecnologías de la información
ycomunicaciones.
2. OBJETIVOS
Objetivos
2.1 General:
Definir los procesos que en materia de TIC regirán hacia el interior de la UTIC, con el propósito de
lograr lacobertura total de la gestión, de manera que, independientemente de la estructura
organizacional con quecuenten o que llegaran a adoptar; los roles definidos puedan acoplarse a los
procesos establecidos paralograr la cohesión total para una mejor gestión.
2.2 Específicos:
1. Proporcionar a las Instituciones procesos simplificados y homologados en materia de TIC, así
como las correspondientes regulaciones para cada proceso.
2. Establecer indicadores homologados que permitan a la SFP medir los resultados de la gestión de
la UTIC de manera que le sea posible definir estrategias de apalancamiento y apoyo a las
Instituciones que lo requieran.
3. Contribuir, mediante la aplicación generalizada del Marco rector de procesos en materia de TIC,
aalcanzar una mayor eficiencia en las actividades y procesos institucionales e interinstitucionales,
a partir del quehacer orientado al servicio y satisfacción del ciudadano.
3. AMBITO DE APLICACION / ALCANCE
Los procesos del "Marco rector de procesos en materia de TIC" deberán implementarse en
las Instituciones a través de sus correspondientes UTIC.
4. MARCO JURIDICO
1. Constitución Política de los Estados Unidos Mexicanos.

2. Ley Orgánica de la Administración Pública Federal.
3. Ley Federal de las Entidades Paraestatales.
4. Ley Federal de Presupuesto y Responsabilidad Hacendaria.
5. Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
6. Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental.
7. Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.
8. Reglamento Interior de la Secretaría de la Función Pública.
9. Reglamento de Ley Federal de las Entidades Paraestatales.
10. Reglamento de la Ley Federal de Presupuesto y Responsabilidad Hacendaria.
11. Reglamento de la Ley de Adquisiciones, Arrendamientos y Servicios del Sector Público.
13. Plan Nacional de Desarrollo 2007-2012.
14. Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-2012, publicado
en el Diario Oficial de la Federación el 10 de noviembre de 2008.
15. Decreto que establece las medidas de austeridad y disciplina del gasto de la Administración
Pública Federal, publicado en el Diario Oficial de la Federación el 4 de diciembre de 2006.
16. Lineamientos Específicos para la Aplicación y Seguimiento de las Medidas de Austeridad y Disciplina del
Gasto de la Administración Pública Federal; publicado en el Diario Oficial de la Federación el 29 de
diciembre de 2006.
17. Lineamientos de Protección de Datos Personales, emitidos por el Instituto Federal de Acceso a
la Información.
18. Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos
por el Instituto Federal de Acceso a la Información.
19. Agenda de Gobierno Digital.
5. PROCESOS EN MATERIA DE TIC
El presente Manual contiene la Estrategia para armonizar y homologar en materia de TIC las
actividades de las UTIC, identificadas en 30 procesos, que se integran en 11 grupos, los cuales a su vez
están considerados en 4 niveles de gestión, que conforman el "Marco rector de procesos en materia de
TIC" para las UTIC.
En cada uno de los procesos se señalan acciones básicas para una gestión ágil y ordenada en las
UTIC.
El "Marco rector de procesos en materia de TIC" de la Estrategia se muestra en la siguiente figura:
Figura 1: Estrategia: un "Marco rector de procesos en materia de TIC".
5.1 DIRECCION
5.1.1 Establecimiento del modelo de gobernabilidad de TIC

General:
Definir un modelo de gobernabilidad de TIC en las Instituciones, mediante la conformación de dos
grupos de trabajo: el primero integrado con servidores públicos de las unidades responsables del más
alto nivel de la Institución, cuyo objeto sea apoyar en la toma de decisiones en materia de TIC, de
manera que facilite llevar a cabo, entre otras acciones, el análisis de las oportunidades de
aprovechamiento de las TIC para determinar las prioridades de inversión; y el segundo, constituido
por servidores públicos de la propia UTIC, cuyo propósito sea establecer y mantener la adecuada
organización al interior de la UTIC para la gestión de los procesos.
Específicos:
1. Establecer un modelo de gobernabilidad de TIC.
2. Establecer y mantener al interior de la UTIC la adecuada organización y gestión de los
procesos,mediante el desempeño de los roles establecidos en el "Marco rector de procesos en
materia de TIC".
3. Operar y mantener la gobernabilidad de las TIC a fin de:
a. Promover que los mandos medios y los titulares de las unidades responsables, coadyuven con la
UTIC en la toma de decisiones para la dirección y control de las TIC, así como para la entrega
efectiva y eficiente de servicios de TIC.
b. Propiciar que la estructura de gobierno de TIC determine las prioridades de inversión en TIC para el
mejor aprovechamiento de éstas, alineadas a las necesidades de la Institución.
c. Alinear los procesos y orientar la participación del grupo de trabajo para la dirección de TIC en la
toma de decisiones, para maximizar su oportunidad y calidad.
EMG-1 Establecer el gobierno de TIC
Descripción Establecer grupos de trabajo que aseguren la gobernabilidad de las TIC en cada
una de lasInstituciones, incluyendo principalmente la eficiencia en el valor de las
TIC, la disponibilidadoportuna de los servicios de TIC y la seguridad de la
información conjuntamente con laadministración de riesgos.
Factorescríticos Establecer grupos de trabajo para la implantación y adopción de los conceptos
degobernabilidad y gestión de los procesos de TIC.
1. Grupo de trabajo para la dirección de TIC:
a) Establecer en cada una de las Instituciones un Grupo de trabajo para la dirección
de TIC integrado por servidores públicos de las unidades responsables del más
alto nivel. Este grupo estará encabezado por el titular de la UTIC.
b) Establecer y comunicar el alcance, objetivos, roles y responsabilidades de
losintegrantes del Grupo de trabajo para la dirección de TIC.
c) El Grupo de trabajo para la dirección de TIC deberá realizar, entre
otrasactividades, las siguientes:
 Determinar las oportunidades y los riesgos en el uso de TIC.
 Determinar las prioridades de las iniciativas de TIC, alineadas con la estrategia y las
prioridades institucionales.
 Opinar sobre la dirección estratégica de la Institución.
 Verificar que las principales inversiones en materia de TIC se encuentrenalineadas a
los objetivos estratégicos de la Institución.
 Evaluar el cumplimiento a los niveles de servicio de los servicios de TIC.
d) El Grupo de trabajo para la dirección de TIC deberá informar de los
resultados,recomendaciones y decisiones al titular de la Institución.
2. Grupo de trabajo estratégico de TIC:
a) Establecer en cada una de las Instituciones un Grupo de trabajo estratégico
de TIC, integrado por diversos servidores públicos de la UTIC.
b) Establecer y comunicar el alcance, objetivos, roles y responsabilidades de
losintegrantes del Grupo de trabajo estratégico de TIC.
c) El Grupo de trabajo estratégico de TIC deberá realizar, entre otras actividades, las
siguientes:
 Establecer, implementar y mantener una adecuada organización al interior de la
UTIC, mediante la asignación de roles para la gestión de los procesos, de acuerdo
a las necesidades de gobernabilidad de las TIC.
Relación de  Anexo 1, Formato 1, "Documento de integración y operación del Grupo detrabajo

productos para la dirección de TIC".
 Anexo 1, Formato 2, "Documento de integración y operación del Grupo detrabajo
estratégico de TIC".
EMG-2 Establecer y mantener una adecuada organización de la UTIC
Descripción Propiciar una distribución equilibrada entre los diferentes niveles de organización
de la UTIC que permita atender las necesidades de gobernabilidad de TIC.
Factorescríticos
1. El Titular de la UTIC, determinará los roles de los servidores públicos involucrados
en la ejecución de los procesos de la UTIC, de manera que se delimite con
precisión laparticipación de los servidores públicos de la UTIC de acuerdo al nivel
deresponsabilidad requerido en los diferentes procesos.
 Asignar los roles a los servidores públicos de la UTIC.
 Determinar cada rol conforme al conocimiento, experiencia y nivel
de responsabilidad de lo servidores públicos de la UTIC.
 Desarrollar descripciones de roles con descripción de metas y objetivos.
2. Implementar, en la medida de lo posible, la segregación de roles y
responsabilidades.
 Establecer una división de roles y responsabilidades que reduzca la posibilidad de
que un solo individuo afecte negativamente un proceso crítico.
 El Grupo de trabajo estratégico de TIC deberá asegurarse de que los
servidorespúblicos de la UTIC realicen sólo las actividades que le sean asignadas
deacuerdo a su rol.
3. Supervisar.
 Sustentar la supervisión en el Sistema de administración de los procesos de
la UTIC.
 Implementar prácticas adecuadas de supervisión dentro de la UTIC para asegurarse
de que los roles y las responsabilidades se ejerzan de forma apropiada.
 Evaluar si los servidores públicos a quienes se pretende asignar un rol cuentan con
las facultades y recursos para ejecutarlos.
4. Revisar de forma periódica, la asignación de roles en la UTIC.
 Ajustar los requerimientos de los procesos y de los proyectos de servicios y
desoluciones tecnológicas de TIC.
Relación de  Anexo 1, Formato 3, "Descripciones de roles y responsabilidades".
productos
 Anexo 1, Formato 4, "Segregación de roles y responsabilidades".
EMG-3 Operar y mantener el gobierno de TIC
Descripción Integrar e institucionalizar las buenas prácticas para asegurar que las TIC sean
llevadasadelante con dirección y gobierno.
Factorescríticos
1. El Grupo de trabajo para la dirección de TIC atenderá los asuntos que le
sean enviados por los responsables de los procesos del "Marco rector de
procesos en materia de TIC".
2. Participar en el proceso de Administración del portafolio de proyectos de TIC, con
laresponsabilidad de seleccionar y autorizar iniciativas de TIC, dar seguimiento y
deevaluar las actividades de dicho proceso.
3. Aprobar y asegurar la efectividad de los controles de alto nivel que provee el
Sistema de administración de los procesos de la UTIC, los indicadores del Cuadro
de mando integral de TIC y la administración de riesgos de TIC.
Relación  Anexo 1, Formato 5, "Lista de asuntos y acuerdos directivos".

de
productos
Tiempo total del proceso: variable
Diagrama de flujo de información

Se encuentra disponible en la dirección siguiente: www.maagtic.gob.mx
Diagrama de flujo de actividades

Rol Descripción
Grupo de Este grupo está integrado por servidores públicos de las unidades responsables
trabajo para la loscuales deberán de contar con facultades para la toma de decisiones.
dirección de Este grupo estará encabezado por el titular de la UTIC.
TIC
 Determina las acciones de gobernabilidad de TIC, toma decisiones con respecto a
requerimientos, inversión y gasto en materia de TIC; define y establece controles
de gobierno y evalúa los resultados de la UTIC.
 Debe procurar una adecuada dirección y control de los procesos y servicios de TIC.
Grupo de Este grupo está integrado por diversos servidores públicos de la UTIC.
trabajo
 Establece, implementa y mantiene una adecuada organización de la UTIC, de
estratégico de
acuerdo a las necesidades de gobernabilidad de TIC.
TIC
Titular de la Como responsable de la UTIC, encabeza el Grupo de trabajo para la dirección de

UTIC TIC.
 Determina los roles de los servidores públicos de la UTIC, involucrados en
laejecución de los procesos.
5.1.1.3 Indicadores
Frecuencia
Nombre Objetivo Descripción Dimensión Tipo Fórmula Responsable
de cálculo
Resultados Obtener la Medir la Eficacia Estratégico % eficacia= Grupo de Semestral
del Grupo de eficacia del eficacia del (número trabajo para la
trabajo para proceso con Grupo de de mejoras que dirección de
la referencia en trabajo para la afectan al PETIC / TIC
dirección de el PETIC dirección de número de asuntos
TIC al TIC a través tratados en las
respecto del de las reuniones del
PETIC mejoras Grupo)
en el PETIC X 100
Resultados Obtener la Medir a Eficacia Estratégico % eficacia= Grupo de Semestral
del Grupo de eficacia del eficacia del (número trabajo para la
trabajo para proceso con Grupo de de mejoras que dirección de
la referencia en trabajo para la afectan al TIC
dirección de el impacto al dirección de Portafolio
TIC al Portafolio de TIC a través de proyectos /
respecto del proyectos de de las número
Portafolio de TIC mejoras de asuntos
proyectos de en el tratados
TIC Portafolio en las reuniones
de proyectos del
de TIC Grupo) X 100
Avance en la Determinar la Medir el grado Eficacia Estratégico % avance= Grupo de Semestral
implantación eficacia del de avance en (número de trabajo
del gobierno Grupo de las acciones acciones estratégico de
de TIC trabajo realizadas realizadas para la TIC
estratégico para la implantación del
de implantación gobierno de TIC/
TIC del gobierno número total de
de TIC acciones
planeadas
para implantar el
gobierno de TIC) X
100
1.1 Serán extensivas a este proceso las disposiciones de seguridad de la información

establecidaspor medio del SGSI.
1.2 La evaluación de este proceso, deberá realizarse de acuerdo a lo establecido en el
proceso deAdministración de la evaluación de TIC.
1.3 Los roles y responsabilidades de este proceso deberán definirse durante la ejecución de
esteproceso
Los anexos señalados en este proceso serán publicados en la dirección siguiente:

www.maagtic.gob.mx
5.1.2 Planeación estratégica de TIC

General:
Que cada una de las Instituciones cuente con un Plan/Programa Estratégico de Tecnologías de
la Información y Comunicaciones (PETIC), con el objeto de establecer líneas de acción en materia de
TIC, tomando en cuenta las disposiciones del Plan Nacional de Desarrollo, los programas sectoriales
y especiales que resultan aplicables, así como la Agenda de Gobierno Digital.
Específicos:
1. Establecer y mantener alineada la Misión y Visión de la UTIC en el contexto de la
Institución, identificar los objetivos y prioridades de la Institución con la finalidad de proponer
proyectos eficaces e innovadores, considerando especialmente aquellos relacionados con la mejora
sustancial de los trámites y los servicios públicos.
2. Identificar las oportunidades y riesgos para el cumplimiento de los objetivos estratégicos de
la Institución en materia de TIC, mediante el análisis del entorno y de la organización.
3. Establecer los mecanismos para elaborar, operar y supervisar el avance del PETIC de la
Institución,especialmente en lo relativo a las estimaciones del presupuesto de la inversión por
proyecto, de losbeneficios esperados, de las fuentes de financiamiento y de la estrategia de
adquisición.
4. Instrumentar los mecanismos para asegurar que los servidores públicos de la UTIC
entiendancabalmente el PETIC de la institución.
5. Impulsar el cumplimiento de los objetivos y proyectos institucionales, mediante la implementación
de un mecanismo que permita dar seguimiento al PETIC.
PE-1 Analizar el entorno en materia de TIC
Descripción Identificar y analizar los factores que conforman el entorno de la Institución en

materia deTIC y la situación actual.
Factorescríticos El Responsable de la planeación estratégica de la UTIC deberá de:
1. Identificar los elementos regulatorios, normativos y tecnológicos que influyen en
laejecución de las actividades y servicios que brinda la UTIC en apoyo a las
funcionessustantivas de la Institución.
2. Realizar un análisis de fortalezas, oportunidades, debilidades y amenazas
que influyen en el cumplimiento de las funciones de la Institución en materia de
TIC, para lo cual se deberá de considerar lo previsto en del Plan Nacional de
Desarrollo vigente, los programas sectoriales y especiales que apliquen, así como
la Agenda de Gobierno Digital.
3. Identificar los principales hechos o eventos del ambiente externo que
podríanrepresentar alguna amenaza u oportunidad para la Institución tales como:
factoreslegales, regulatorios, políticos, económicos, sociales, tecnológicos, entre
otros.
4. Identificar las principales fortalezas y debilidades de la Institución para
el cumplimiento de sus objetivos y funciones tales como: disponibilidad de
recursos tecnológicos, financieros, y humanos, activos, procesos, calidad de la
infraestructura y/o de servicios, estructura interna y percepción de los usuarios.
Relación de  Matriz de fortalezas, oportunidades, debilidades y amenazas (FODA).
productos
PE-2 Establecer la misión, visión y estrategias de la UTIC

Descripción Establecer y comunicar la misión, visión y estrategias de la UTIC, que transmita
de manera efectiva los propósitos y objetivos de la UTIC.
Factorescríticos El Grupo de trabajo para la dirección de TIC deberá de:
1. Establecer la misión de la UTIC.
 Describir de manera clara y concreta el objetivo fundamental que persigue la UTIC,
a fin de lograr el compromiso inmediato de los servidores públicos que
laconforman.
2. Establecer la visión de la UTIC.
 Describir de manera breve, la situación deseada que busca alcanzar la UTIC a largo
plazo, debe ser fácil de recordar y estar alineada a los objetivos estratégicos, la
cual deberá ser elaborada pensando en el escenario ideal de desempeño de
manera efectiva, en el cumplimiento de sus objetivos y en la alineación de sus
planes.
3. Difundir la misión y visión de la UTIC.
 Comunicar constantemente a todos los miembros de la Institución, así como realizar
actividades continuas que busquen transmitir y sensibilizar a los servidores
públicos para trabajar alineados a la misión y visión de la UTIC
4. Establecer las estrategias de la UTIC a través de:
 Analizar los resultados del FODA.
 Analizar los objetivos estratégicos de la Institución.
Relación de  Anexo 2, Formato 1 "Documento estratégico de TIC"

productos
PE-3 Desarrollar el Cuadro de mando integral y Mapa estratégico de la UTIC
Descripción Establecer objetivos y metas claras de la UTIC, mediante el diseño e

implementación de un Mapa estratégico y un Cuadro de mando integral de la
UTIC que abarque la perspectiva financiera, de usuario o cliente, de procesos, de
desarrollo de personal y de aprendizaje.
Factorescríticos El Responsable de la planeación de la UTIC deberá:
1. Analizar la situación actual de la UTIC y obtener información.
2. Analizar y determinar las funciones sustantivas de la Institución.
3. Identificar las necesidades de TIC.
4. Diseñar un Mapa estratégico de la UTIC el cual estará sustentado por un análisis
de:
 Perspectiva financiera: factores críticos que permitan tener una situacióneconómica
saludable en la UTIC; esto incluye el uso adecuado de los recursosfinancieros, el
análisis del costo de operación de los servicios de TIC y, en sucaso, la salud
financiera de la UTIC.
 Perspectiva de cliente o usuario: factores críticos que permiten mantener niveles de
satisfacción adecuados de los usuarios proporcionados por la Institución.
 Perspectiva de procesos: factores críticos que permitan mantener procesos
yprocedimientos adecuados para operar de manera efectiva, eficiente y con
unadecuado nivel de control, a fin de cumplir con las necesidades de los usuarios.
 Perspectiva de desarrollo de personal y de aprendizaje: factores críticos
quepermitan desarrollar las capacidades de los servidores públicos de la
Institución y el conocimiento necesario para ejecutar los procesos y
procedimientosempleados para operar en la Institución.
 Las relaciones entre las cuatro perspectivas y la subordinación que existen entre
éstas.
5. Identificar las variables e indicadores críticos en cada una de las perspectivas.
6. Establecer una correspondencia eficaz y eficiente entre las variables críticas y
lasacciones precisas para su control en el Mapa estratégico de la UTIC
7. Diseñar un Cuadro de mando integral que deberá considerar:
 Integrar la información del Mapa estratégico de la UTIC.
 La definición de las metas y acciones que permitan cumplir los objetivos de la UTIC.
Relación de  Anexo 2, Formato 2 "Mapa estratégico de la UTIC"

productos
 Anexo 2, Formato 3 "Cuadro de mando integral"
PE-4 Identificar las iniciativas y/o proyectos estratégicos de TIC
Descripción Identificar las principales iniciativas y/o proyectos estratégicos de TIC que deben
serejecutados, para cumplir con los objetivos estratégicos de la Institución que
tengan relación con las TIC y con el Mapa estratégico de la UTIC.
Factorescríticos La UTIC deberá:
1. Correlacionar los objetivos estratégicos de la Institución que tengan relación con
lasTIC con el Mapa estratégico de la UTIC.
2. Determinar las iniciativas y/o proyectos estratégicos de TIC necesarios para
cumplircon los objetivos estratégicos de la Institución que tengan relación con las
TIC, para lo cual se:
 Integrará la relación de las iniciativas y/o proyectos estratégicos de TIC priorizadas,
tomando en cuenta:
- Su relevancia para cumplir con los objetivos estratégicos que puedanaprovechar el
uso de TIC.
- El valor que podrían aportar a los ciudadanos.
- La mejora en los trámites y servicios que presta la Institución.
 Identificará información, de acuerdo a lo que se establezca en el proceso
deAdministración de portafolio de proyectos de TIC.
3. Estimar la inversión requerida para las iniciativas y/o proyectos estratégicos de
TIC.
 Para cada iniciativa y/o proyecto estratégico de TIC, se deberá estimar
elpresupuesto y los recursos necesarios para su ejecución. Este
presupuestodeberá considerar los recursos financieros para la contratación de los
servicios,o en su caso, la adquisición, puesta en operación y mantenimiento de
la solución tecnológica y/o el servicio de TIC. De igual forma se deberá estimar
el esfuerzo interno y los recursos necesarios para adquirir, supervisar
y administrar la solución tecnológica y/o el servicio de TIC.
4. Integrar las iniciativas y/o proyectos estratégicos de TIC que hayan sido
relacionadasconforme al numeral 2 al Portafolio de proyectos de TIC que se
establece en elproceso de Administración del portafolio de proyectos de TIC.
Relación de  Anexo 2, Formato 4 "Relación de Iniciativas de TIC y/o proyectos estratégicos de la

productos UTIC"
PE-5 Elaborar, validar, aprobar, comunicar y actualizar el PETIC
Descripción Elaborar, validar, aprobar, comunicar y actualizar el PETIC.

Factorescríticos
1. La UTIC será la encargada de la elaboración del PETIC, que deberá integrar
cuandomenos, la información siguiente:
a. Misión y visión de la UTIC.
b. La contenida en la Matriz FODA.
c. Proyectos estratégicos de la UTIC que hayan sido autorizados y que seencuentren
en el Portafolio de proyectos de TIC.
d. Objetivos, descripción y beneficios de la implementación de cada
proyectoestratégico de la UTIC.
e. Riesgos e impacto de cada proyecto estratégico de la UTIC.
f. Presupuesto estimado para cada proyecto estratégico de la UTIC.
g. Descripción de roles y responsabilidades de los servidores públicos queejecutarán
los proyectos que se señalan en el inciso c) de este numeral.
h. Mecanismos de seguimiento al PETIC.
Esta información o cualquier otra adicional que se determine por la UGD se
deberá integrar a la herramienta de registro y seguimiento del PETIC denominada
DAS-IT.
2. Revisar y validar el PETIC.
 Deberá ser revisado y validado por el Grupo de trabajo para la dirección de TIC.
3. Aprobar y Comunicar el PETIC
 Deberá ser aprobado y firmado por los titulares de cada Institución.
 Una vez firmado el PETIC deberá de ser comunicado por la UTIC.
4. Actualizar el PETIC.
 Deberá mantenerse actualizado por la UTIC cuando: la estrategia
cambiesignificativamente, la situación externa y/o interna afecte el cumplimiento
de losobjetivos, se requiera afinar la estrategia definida, exista un cambio en
laadministración de la Institución.
Relación de  PETIC, en DAS-IT.
productos
PE-6 Dar seguimiento al PETIC
Descripción Dar seguimiento a los avances en el cumplimiento del PETIC.

Factorescríticos La UTIC para el seguimiento de los avances en el cumplimiento del PETIC
deberá:
1. Dar seguimiento, de manera programada, al PETIC y reportar trimestralmente
su avance a la UGD.
2. Informar periódicamente al Grupo de trabajo para la dirección de TIC,
el cumplimiento del PETIC y la situación de los indicadores del Cuadro de
mando integral.
3. Registrar y dar seguimiento a los acuerdos del Grupo de trabajo para la dirección
deTIC.
4. Identificar, registrar y administrar las acciones correctivas en caso de desviación.
Relación de  Reportes de seguimiento del PETIC reporte del DAS-IT
productos  Repositorio de Iniciativas de TIC y/o proyecto estratégico de la UTIC.


Rol Descripción
Titular de laUTIC Responsable de asegurar que las actividades de planeación estratégica
sedesarrollen en la Institución.
Responsablede  Realizar investigación y análisis tecnológico y generar estrategias de TIC,
laplaneación de la así como convocar a los representantes de las unidades
UTIC responsables involucradas, para definir conjuntamente el PETIC de la
Institución.
 Participar y elaborar el PETIC, así como ejecutar y dar seguimiento a
Servidorespúblicos
de la UTIC las actividades del mismo, incluyendo las acciones correctivas.
Grupo  Definir y establecer la visión y la misión de la UTIC; revisar y aprobar el
detrabajo
para la PETIC de la Institución; así como tomar decisiones acerca de las
dirección de TIC actualizaciones de éste.
5.1.2.3 Indicadores
Frecuencia
de cálculo
Oportunidad Medir la Conocer la Eficiencia De gestión Entrega en Titular de la Anual
en la oportunidad oportunidad tiempo UTIC
elaboración y de con la que fue
entrega del elaboración y elaborado y
PETIC entrega del entregado a la
PETIC SFP el PETIC
Elaboración Medir la Obtener la Calidad De gestión (número de Titular de la Trimestral
del PETIC calidad del medición de la ajustes al UTIC
PETIC calidad del PETIC por
PETIC en riesgos no
base considerados
al número de /
ajustes número de
efectuados ajustes
por totales) * 100
situaciones o
riesgos no
considerados

1.1 La UTIC deberá garantizar una planeación estratégica eficiente, que incluya las directrices
yestrategias planteadas en la Agenda de Gobierno Digital.
1.2 La UTIC deberá presentar a la UGD el PETIC a través del DAS-IT.
1.3 La UTIC deberá propiciar la correcta dirección sobre las prioridades de los proyectos.
1.4 El titular de la UTIC deberá dar a conocer el PETIC a los servidores públicos de la UTIC
de manera formal, así como promover la adecuada aplicación del mismo.
1.5 La UTIC deberá establecer un Cuadro de mando integral con indicadores que permitan
darseguimiento al cumplimiento de los objetivos y las estrategias definidas en el formato 3
del Anexo 2, y en el PETIC.
1.6 La UTIC deberá mantener informada a la UGD respecto de los avances en su PETIC, y de
laejecución de este proceso, de acuerdo a las fechas establecidas por la UGD.

1.8 La evaluación de este proceso se realizará de acuerdo a lo establecido en el proceso

deAdministración de la evaluación de TIC.
1.9 Los roles y responsabilidades de este proceso deberán definirse mediante el proceso
deEstablecimiento del modelo de gobernabilidad de TIC.
1.10 La UTIC implementará y mantendrá actualizado un repositorio en el cual se contendrá

la totalidad de la información que se genere a través del presente proceso.

www.maagtic.gob.mx
5.1.3 Determinación de la dirección tecnológica

General:
Determinar la dirección tecnológica de la Institución para crear un Programa de Tecnología que facilite
laselección, el desarrollo, la aplicación y el uso de la infraestructura de TIC, de manera que ésta
responda a la dinámica de la Institución.
Específicos:
1. Determinar los requerimientos tecnológicos derivados de las necesidades de la Institución
que deberán ser incorporados en el Programa de Tecnología.
2. Definir un modelo para el Programa de Tecnología que incluya la arquitectura
tecnológica considerando los diversos dominios tecnológicos necesarios para estandarizar y
evolucionar la infraestructura de TIC, de manera que cuente con la capacidad necesaria para
satisfacer las necesidades actuales y futuras de la Institución.
3. Procurar que el Programa de Tecnología tenga un balance entre necesidades, innovación, beneficios,
riesgos y costos y oriente a la Institución hacia el desarrollo de nuevas formas de cumplir con sus
objetivos.
DDT-1: Establecer el Grupo de trabajo de arquitectura tecnológica
Descripción Conformar el Grupo de trabajo de arquitectura tecnológica
Factorescríticos Se establecerá un Grupo de trabajo de arquitectura en cada una de las

Instituciones,integrado por servidores públicos de la UTIC.
La UTIC al establecer el Grupo de trabajo de arquitectura tecnológica deberá:
 Acordar y definir el rol y responsabilidades del Grupo de trabajo de arquitectura
tecnológica.
 Establecer y comunicar el alcance, objetivos, roles y responsabilidades de los
integrantes del Grupo de trabajo de arquitectura tecnológica.
c) El Grupo de trabajo de arquitectura tecnológica deberá realizar, entre
otrasactividades, las siguientes:
 Determinar la visión de la tecnología.
 Elaborar y actualizar el Programa de Tecnología.
 Dar seguimiento a tendencias futuras y a disposiciones normativas.
 Administrar los requerimientos tecnológicos.
Relación de  Anexo 3, Formato 1 "Descripción de roles y responsabilidades del Grupo detrabajo
productos de la arquitectura tecnológica"
DDT-2: Determinar la visión de la tecnología

Descripción Analizar las tecnologías existentes y emergentes; planear cuál dirección
tecnológica es laapropiada para materializar los objetivos y estrategias, y proveer
los servicios deinformación acordes a los requerimientos de la Institución.
Esta actividad permite identificar cuales tecnologías tienen el potencial de
crearoportunidades para la Institución.
Factorescríticos
1. Definir los requerimientos tecnológicos derivados de las necesidades,
objetivos,estrategias, proyectos y servicios de la Institución que deberán ser
soportados por ladirección tecnológica que se defina.
Para definir los requerimientos tecnológicos es útil desarrollar escenarios de uso,
conuna descripción integral de la situación o necesidad de negocio en conjunto
con laperspectiva tecnológica, que permita analizar los requerimientos con
respecto alimpacto en el negocio.
2. Traducir los requerimientos tecnológicos en términos de directrices rectoras para
laarquitectura tecnológica.
3. Definir el alcance, estructura y nivel de detalle de los dominios descritos en
el proceso de Administración de dominios tecnológicos, a fin de determinar
una arquitectura tecnológica, los cuales estarán definidos en los niveles
siguientes:
 Arquitectura de datos/información: La descripción de la estructura de los datosfísicos
y lógicos de la Institución y los recursos de gestión de dichos datos.
Dicha descripción debe contener, entre otras cosas: el ciclo de vida integral de la
información, la forma de registro, actualización y distribución de la información.
 Arquitectura de aplicaciones: El modelo que contiene las aplicaciones que
laInstitución requiere para soportar sus capacidades sustantivas; la forma en
queestarán organizadas, y como estarán relacionadas.
 Arquitectura de infraestructura tecnológica: La definición de los marcos técnicos de
referencia, principios, modelos, estándares, entre otros; necesarios paragobernar
los recursos tecnológicos en la provisión de los servicios de TIC.
 Arquitectura de negocio: La definición de entregables relativos a la
información,contexto y requerimientos tecnológicos necesarios para sostener los
cambios en los procesos sustantivos o, causados por modificaciones de estrategia
o metas.
4. Los niveles antes mencionados deberán ser consistentes con los niveles de
detallenecesarios para sustentar los requerimientos tecnológicos determinados.
Realizarregularmente un análisis de FODA de todos los elementos críticos de la
arquitecturatecnológica.
5. Dar seguimiento a la evolución del mercado y de las tecnologías emergentes con
elpropósito de identificar las tecnologías de punta que puedan ser aprovechables.
6. Realizar la selección de las áreas y tópicos de investigación de TIC, en función de
lasiniciativas y/o proyectos de TIC identificados y/o de los requerimientos
tecnológicosidentificados.
7. Compilar las investigaciones en materia de TIC, a fin de establecer
posibles directrices rectoras.
8. Determinar las directrices rectoras para la arquitectura tecnológica.
Relación de  Anexo 3, Formato 2 "Directrices rectoras para la arquitectura tecnológica"

productos
DDT-3: Elaborar y actualizar el Programa de Tecnología
Descripción Elaborar y actualizar el Programa de Tecnología acorde con los objetivos

estratégicos ytácticos de la UTIC. El programa se basa en la dirección tecnológica
e incluye directricespara la adquisición de recursos tecnológicos y toma en cuenta
los cambios en la tecnología.
Factorescríticos
1. Elaborar el Programa de Tecnología basado en un análisis por cada uno de
losdominios antes señalados que contendrá:
 La descripción del estado actual de los componentes de cada dominio
paraestablecer una línea base que sustente la planeación.
 Las descripciones de la arquitectura tecnológica que se desea para cada uno de los
dominios, conforme a la visión tecnológica de la Institución.
 La información de la selección de las perspectivas de la arquitectura tecnológica que
se desea, de forma que demuestre que da respuesta a los requerimientos
tecnológicos y a los objetivos esperados por las unidades responsables en un
plazo determinado.
 Un estudio de las brechas entre la arquitectura tecnológica en operación y
laarquitectura tecnológica que se desea.
 La definición de la arquitectura tecnológica que se desea y de ser necesario
ladefinición de arquitecturas tecnológicas de transición como etapas
intermediaspara llegar a la arquitectura tecnológica deseada.
2. Integrar en el Programa de Tecnología las arquitecturas tecnológicas de cada
uno de los dominios tecnológicos antes señalados, lo cual permitirá:
 Visualizar cómo los componentes de tecnología se integran en un enfoquesistémico.
 Plantear modelos arquitectónicos tecnológicos enfocados en la capacidad de
laInstitución.
 Definir los estándares que habilitarán la integración de componentes paramaximizar
su reutilización y potenciar su interoperabilidad.
 Asegurar que las descripciones de los diferentes dominios antes
mencionadospueden combinarse en una sola representación lógica.
3. Evaluar y seleccionar la alternativa de implementación de las
arquitecturastecnológicas deseadas que conforman el Programa de Tecnología,
por medio de losfactores críticos para la transición y las iniciativas de TIC y/o
proyectos de tecnologíarequeridos para pasar del estado actual al deseado, así
como evaluar lascorrelaciones, costos y beneficios de las distintas alternativas.
4. Integrar las iniciativas de TIC y/o los proyectos de tecnología al Programa
deTecnología de manera que se considere la prioridad, el orden, las
interdependencias y los beneficios de las mismas.
5. Incluir en el Programa de Tecnología los costos relacionados con las iniciativas
de TIC de TIC y/o los proyectos de tecnología y otros costos derivados de la
estrategia de transformación, riesgos tecnológicos, y las mejoras esperadas en
la interoperabilidad de plataformas y aplicaciones.
6. Someter a evaluación, selección y autorización el Programa de Tecnología,
así como las iniciativas de TIC y/o los proyectos de tecnología al proceso
de Administración de portafolio de proyectos de TIC.
7. Revisar el Programa de Tecnología de acuerdo a las iniciativas de TIC y/o
losproyectos de tecnología autorizados.
8. Dar seguimiento a la implementación del Programa de Tecnología.
9. Revisar y actualizar periódicamente el Programa de Tecnología.
10. Procurar que todos los grupos de trabajo involucrados participen en el desarrollo
yaprobación de los proyectos de migración y de cambio que se realicen para
latransición de la arquitectura tecnológica.
11. Establecer un proceso de Control de cambios en la arquitectura
tecnológica, conforme al proceso Administración de cambios.
11. Establecer un proceso de Control de cambios en la arquitectura
tecnológica, conforme al proceso Administración de cambios.
12. Determinar las condiciones bajo las cuales los componentes
arquitectónicostecnológicos podrían cambiarse una vez implementados, así como
aquéllas para iniciar el ciclo de actualización de la arquitectura tecnológica.
Relación  Programa de Tecnología

deproductos
DDT-4: Dar seguimiento a tendencias futuras y a disposiciones normativas
Descripción Establecer un mecanismo para dar seguimiento a las tendencias tecnológicas,

deinfraestructura, así como a las disposiciones legales en la materia y, en su caso,
incluirlasen el Programa de Tecnología.
Factorescríticos Los integrantes del Grupo de trabajo de arquitectura tecnológica deberán de:
1. Estar capacitados para desarrollar esta actividad.
2. Consultar, de ser posible, con especialistas externos el entendimiento de
lasoportunidades y beneficios derivados de las nuevas tecnologías en la UTIC.
3. Participar en los foros y grupos de especialistas que se establezcan.
4. Mantener informado a los integrantes de los diversos grupos de trabajo sobre
lastendencias tecnológicas.
5. Evaluar la posible contribución de tecnologías emergentes al logro de los
objetivosestratégicos de la Institución relacionados con las TIC.
6. Dar seguimiento a las reformas de las disposiciones y normas relativas a
loscomponentes tecnológicos de la arquitectura tecnológica en operación y, en
su caso, analizar el impacto en el Programa de Tecnología, para prever los
cambios pertinentes.
Relación de  Mecanismo de seguimiento al desarrollo tecnológico y sus tendencias.

productos
DDT-5: Administrar los requerimientos tecnológicos
Descripción Identificar, almacenar y comunicar los requerimientos tecnológicos derivados de

losobjetivos, estrategias y servicios que deberán ser soportados por la
Factorescríticos
1. Registrar requerimientos tecnológicos, incluyendo aquéllos necesarios para
laarquitectura tecnológica deseada.
2. Determinar la prioridad de los requerimientos tecnológicos de acuerdo a su tipo
y etapa en el ciclo de vida de la arquitectura tecnológica.
3. Dar seguimiento a los requerimientos tecnológicos y, en caso de ser
necesario,reasignar prioridades, agregar nuevos requerimientos tecnológicos, así
como ajustar o dar de baja dichos requerimientos.
4. Generar un análisis de impacto de los cambios en los requerimientos
tecnológicos para presentarlos al Grupo de trabajo de arquitectura tecnológica.
Relación de  Repositorio de requerimientos tecnológicos administrados
productos


Rol Descripción
Grupo detrabajo Llevar a cabo cada una de las actividades del presente proceso.
dearquitecturatecnológica
5.1.3.3 Indicadores
Frecuencia
de cálculo
Cumplimiento Medir el grado Obtener la Eficacia De gestión % eficacia= Grupo de Anual
del Programa de eficacia del (número de trabajo de
de Tecnología cumplimiento proceso de arquitecturas arquitectura
en la acuerdo al objetivo de tecnológica
implantación avance en la dominios con
del Programa implementació avance de
de Tecnología n de las acuerdo a lo
arquitecturas planeado /
de los número total
dominios de
arquitecturas
de
dominio por
implantar) X
100
Calidad en la Medir la Obtener el Calidad De gestión (número de Grupo de Trimestral
definición del calidad del número de re ajustes al trabajo de
modelo para la modelo para trabajos o modelo por arquitectura
arquitectura la ajustes necesidades tecnológica
tecnológica arquitectura efectuados no
tecnológica hasta consideradas /
conseguir el número de
modelo de ajustes totales)
arquitectura * 100
tecnológica
1.1 El Titular de la UTIC asignará a los servidores públicos que se encuentran adscritos a la
UTIC, los roles que deberán desempeñar en este proceso, así como al responsable de
la administración del proceso.
1.2 La UTIC deberá establecer una arquitectura tecnológica que asegure una respuesta eficiente
a los cambios y requerimientos en materia de TIC de la Institución.
1.3 La UTIC integrará un Grupo de trabajo de arquitectura tecnológica encargado del proceso
deDeterminación de la dirección tecnológica.
1.4 El Titular de la UTIC deberá designar a un responsable del proceso Determinación de

la dirección tecnológica.

1.6 La evaluación de este proceso, deberá realizarse de acuerdo a lo establecido en el proceso

1.8 La UTIC, a través del Grupo de trabajo de arquitectura tecnológica, deberá implementar
y mantener actualizado un repositorio en el cual se contendrá la totalidad de la información
que se genere a través del presente proceso.

www.maagtic.gob.mx
5.2 CONTROL
5.2.1 Administración de la evaluación de TIC

General:
Establecer mecanismos de seguimiento y evaluación, así como acciones de mejora a partir de
los resultados de la ejecución de la planeación estratégica, de la operación de los de los procesos y de
los proyectos, del uso y aprovechamiento de los activos, de los recursos y de la entrega de los
servicios de TIC.
Específicos:
1. Establecer un sistema que permita evaluar en forma integral, o por componentes, la operación
yservicios de TIC.
2. Proporcionar informes de resultados de la operación y de rendimiento de los procesos y de
los servicios de las TIC y de avance en el cumplimiento de los objetivos, que les permita
tomar decisiones oportunas e informadas.
3. Establecer las acciones de mejora para prever y corregir desviaciones en la operación y el rendimiento
de los procesos y de los servicios así como dar seguimiento a los resultados de éstas acciones.
AE-1: Establecer el Sistema para la evaluación de TIC
Descripción Establecer los elementos necesarios para instrumentar el sistema que permita
darseguimiento al avance y rendimiento en la implementación de la estrategia y de
losproyectos; a la operación y resultados de los procesos; al uso de los recursos,
así como ala entrega de los servicios de TIC.
Factorescríticos El Administrador del sistema de evaluación de TIC deberá:
1. Identificar, categorizar y documentar un conjunto de indicadores de proceso,
deproducto y de resultados.
2. Verificar el diseño de los indicadores establecidos para cada proceso
del "Marcorector de procesos en materia de TIC", de manera que se asegure su
consistencia eintegralidad.
Deben orientarse a:
 Reducción de costos;
 Cumplimiento regulatorio;
 Satisfacción de los usuarios;
 Madurez y la optimización del proceso;
 Niveles de servicio, y
 Cumplimiento de los objetivos estratégicos.
3. Actualizar continuamente la información insumo para operar los indicadores.
4. Formalizar y aprobar el establecimiento de los indicadores.
5. Considerar al establecer el Sistema de evaluación de TIC, los elementos
siguientes:
 Riesgos de TIC y cumplimiento normativo.
 Niveles de satisfacción de los usuarios.
 Indicadores de operación y resultados de los procesos de TIC.
6. Sensibilizar a los servidores públicos de la UTIC y a los usuarios sobre
la importancia de la evaluación de TIC.
Relación de  Anexo 4, Formato 1 "Objetivos e indicadores del sistema de evaluación de TIC"
productos
AE-2: Alinear los insumos y las métricas
Descripción Alinear las métricas y la información que sirve de insumo, de acuerdo a la

operación de laUTIC, con estricto apego a los indicadores de los procesos
del "Marco rector de procesosen materia de TIC".
Factorescríticos El Administrador de métricas deberá de:

1. Identificar las métricas de los indicadores
2. Establecer los nombres, categorías, unidades de medida, entre otros atributos de
laspropias métricas.
3. Especificar los modelos o fórmulas de cálculo de las métricas.
4. Revisar, aprobar y formalizar las métricas.
5. Verificar la prioridad y vigencia de las métricas periódicamente.
Relación de  Anexo 4, Formato 2 "Métricas y modelos de cálculo del sistema de evaluación de
productos TIC"
AE-3: Especificar los mecanismos de recolección y almacenamiento
Descripción Especificar cómo son obtenidos y almacenados los datos de las métricas
1. Identificar orígenes de los datos.
2. Identificar métricas para las cuales se requieren datos que no se
encuentrandisponibles y, en su caso, revisar la definición de la métrica.
3. Especificar cómo recolectar y almacenar datos para cada métrica requerida.
4. Crear mecanismos y una guía para la recolección y almacenamiento de
datos,integrados en los procesos a medir.
5. Establecer sistemas y mecanismos para la recolección automática de datos
cuandosea apropiado y viable.
6. Priorizar, revisar, aprobar y formalizar tanto las métricas como los mecanismos
derecolección y almacenamiento de datos.
7. Actualizar métricas e indicadores periodicamente.
Relación de  Anexo 4, Formato 3 "Mecanismos de recolección y almacenamiento de datos"
productos
 Herramientas de recolección y almacenamiento de datos
AE-4: Especificar los métodos de análisis
Descripción Especificar los métodos para el análisis y reporte de los datos del Sistema de
evaluación de TIC.

1. Especificar y priorizar los análisis de información y los reportes.
2. Seleccionar métodos y herramientas apropiados para el análisis de datos.
3. Revisar y actualizar el contenido y el formato de los informes para realizar los
análisisespecificados.
4. Especificar los criterios para evaluar la utilidad de los resultados y de las
actividadesde medición y análisis.
5. Efectuar, anualmente, una verificación sobre las métricas, indicadores y criterios
paraevaluar los resultados del análisis y, en su caso, actualizar las métricas,
indicadores y criterios.
Relación de  Métodos de análisis del sistema de evaluación de TIC
productos
 Herramientas de análisis de datos
AE-5: Establecer el repositorio de métricas
Descripción Establecer y mantener actualizado el repositorio de métricas del Sistema de

evaluación deTIC.
Factorescríticos El Repositorio de métricas deberá ser diseñado como un componente del sistema
deconocimiento de acuerdo al proceso de Administración del conocimiento y
contendrá lainformación necesaria para entender, interpretar y evaluar las
métricas, así como lareferencia hacía otra información relacionada.
El Administrador del sistema de evaluación de TIC deberá:
1. Determinar las necesidades de almacenamiento y recuperación de métricas.
2. Diseñar e implementar el repositorio de métricas.
3. Especificar los procedimientos para almacenar, actualizar y recuperar las métricas.
4. Mantener disponible para su uso el contenido del repositorio de métricas.
5. Revisar, periódicamente, el repositorio de métricas y los mecanismos.
Relación de  Repositorio de métricas
productos
AE-6: Recolectar y revisar los datos de insumo para las métricas
Descripción Obtener los datos de insumo para las métricas y analizar e interpretar los mismos.
Factorescríticos El Analista de evaluación de TIC deberá:

1. Obtener y/o generar los datos de insumo para las métricas
2. Revisar los datos de insumo para las métricas y verificar su integridad y exactitud.
3. Almacenar la información de acuerdo con los mecanismos de almacenamiento
dedatos para las métricas.
4. Efectuar periódicamente la actualización de los criterios de revisión.
Relación de  Anexo 4, Formato 4 "Reportes de resultados obtenidos en la revisión"

productos
AE-7: Elaborar informes de medición y análisis
Descripción Elaborar los informes de medición y análisis de la estrategia y de los proyectos; de

laoperación y resultados de los procesos; del uso de los recursos, así como de la
entrega de los servicios de TIC.

1. Elaborar los informes de manera que cumplan con los criterios de
efectividad,eficiencia, confidencialidad, integridad, disponibilidad, cumplimiento y
confiabilidad.
 Los informes deberán de ser diseñados para mostrar aquéllos asuntos y riesgos
relacionados con la contribución de TIC, particularmente, con la capacidad de
desarrollo de soluciones tecnológicas y la entrega de servicios de TIC, así como
con el grado de cumplimiento de los objetivos de los procesos.
2. Desarrollar un análisis inicial de los datos de insumo para las métricas,
interpretar los resultados y desarrollar las conclusiones preliminares.
3. Revisar las conclusiones preliminares.
4. Desarrollar, en su caso, análisis complementarios con datos de insumo
adicionalespara las métricas y preparar resultados, cuando así proceda, para su
presentación.
5. Asesorar a los grupos trabajo involucrados respecto a esta actividad.
Relación de  Anexo 4, Formato 5 "Informes de medición y análisis"

productos
AE-8: Comunicar al Grupo de trabajo para la dirección de TIC y a los servidores

públicos involucrados
Descripción Mantener informado a los grupos de trabajo involucrados con respecto de los
resultados de la medición y análisis de la estrategia y de los proyectos; de la
operación y resultados de los procesos; del uso de los recursos, así como de la
entrega de los servicios de TIC.
Factorescríticos EL Administrador del Sistema de evaluación de TIC deberá:
1. Consolidar los resultados de los informes de medición y análisis en
informes ejecutivos que reflejen el impacto en la operación de la Institución
(positivo o negativo).
2. Establecer un mecanismo para dar conocer, en forma oportuna y confiable
losinformes ejecutivos.
3. Informar, en su caso, las acciones que se realizaron para mitigar aquéllos
riesgos que fueron identificados.
Relación de  Anexo 4, Formato 6 "Informes ejecutivos de evaluación de TIC"

productos
AE-9: Implementar acciones de mejora
Descripción Identificar desviaciones, problemas y oportunidades de mejora con base en los

informes de medición y análisis, para definir e implementar las acciones
correctivas y preventivas.
1. Identificar desviaciones, problemas y oportunidades de mejora con base en
losinformes de medición y análisis.
2. Determinar las acciones correctivas y preventivas a fin de establecer el Programa
deMejora, incorporando en el mismo aquéllas actividades de revisiones
periódicas.
3. Efectuar negociaciones con los servidores públicos involucrados en los procesos
del"Marco rector de procesos en materia de TIC", para implementar el Programa
deMejora.
4. Definir los resultados esperados de la implementación del Programa de Mejora.
5. Ejecutar el Programa de Mejora.
6. Evaluar los resultados de los programas de mejora, incluyendo la identificación
de sus desviaciones.
Relación de  Anexo 4, Formato 7 "Programa de Mejora"
productos


Rol Descripción
 Especificar los métodos de análisis.
Administradorde
métricas
 Alinear los insumos y las métricas.
 Establecer el Sistema para la evaluación de TIC.
Administradordel
sistema
deevaluación
 Establecer el repositorio de métricas.
deTIC  Comunicar al Grupo de trabajo para la dirección de TIC y a los servidorespúblicos
involucrados.
Analista  Recolectar y revisar los datos de insumo para las métricas.
deevaluación
deTIC
 Elaborar informes de medición y análisis.
 Implementar acciones de mejora.
5.2.1.3 Indicadores
Frecuencia
de cálculo
Resultados Conocer la Medir los Eficacia De % eficacia= Administrador Semestral
del Sistema eficacia con la problemas gestión (Problemas del métricas
de que está resueltos, resueltos/ problemas
evaluación operando el identificados identificados por
de TIC Sistema de por medio del medio
evaluación de Sistema de del sistema de
TIC evaluación de evaluación de TIC) X
TIC 100
UTIC, los roles que deberán desempeñar en este proceso, así como al que será
responsable de laadministración de este proceso.
1.2 La UTIC designará al Administrador de métricas el cual se deberá asegurar de que

lainstrumentación y operación del Sistema de evaluación de TIC se integre conforme al
presenteproceso.
1.3 La UTIC, a través del Administrador de métricas, deberá considerar en el diseño del
Sistema deevaluación de TIC los requerimientos de datos e información para el análisis de
la aplicación delos procesos del "Marco rector de procesos en materia de TIC".
1.4 La UTIC, a través del Administrador de métricas, se deberá asegurar de que el Sistema
deevaluación de TIC sea consistente con los sistemas de evaluación de la Institución.


1.8 La UTIC, a través del Administrador de métricas, deberá implementar y mantener

actualizado un repositorio en el cual se contendrá la totalidad de la información que se
genere a través delpresente proceso.

www.maagtic.gob.mx
5.2.2 Administración de riesgos de TIC
General:
Disminuir el impacto de eventos adversos que potencialmente podrían afectar el logro de los objetivos
de la Institución en materia de TIC.
Específicos:
1. Establecer en la UTIC un sistema que permita identificar, analizar, evaluar, atender y monitorear
losriesgos en materia de TIC.
2. Establecer mediante el sistema previsto en el numeral anterior, los medios que permitan
tomar decisiones de manera informada y oportuna sobre la mitigación de los riesgos en materia de
TIC.
ARTI-1 Establecer las directrices del proceso y el Sistema de administración de riesgos de

TIC
Descripción Establecer las directrices del proceso de Administración de riesgos de TIC y el

Sistema deadministración de riesgos de TIC.
Factores Se integrará un Grupo de trabajo de riesgos de TIC en cada una de las
críticos Instituciones,conformado por servidores públicos de la UTIC.
La UTIC al establecer el Grupo de trabajo de riesgos de TIC deberá:
 Acordar y definir el rol y responsabilidades del Grupo de trabajo de riesgos de TIC.
 Establecer y comunicar el alcance, objetivos, roles y responsabilidades de
losintegrantes del Grupo de trabajo de riesgos de TIC.
1. El Grupo de trabajo de riesgos de TIC deberá: Identificar en el ambiente interno
yexterno los riesgos, que en materia de TIC, podrían influir en la Institución:
 En el ambiente externo los aspectos que se podrán considerar son, entre otros:
- Legales, financieros, tecnológicos, económicos, naturales y competitivos,tanto a nivel
federal y estatal, como en al ámbito internacional.
- Tendencias e impulsores externos que tienen impacto en los objetivos de la
Institución en materia de TIC.
- Percepciones y valores que los involucrados externos tienen de laInstitución en
materia TIC.
 En el ambiente interno los aspectos que podrán considerar, entre otros, son:
- Los estándares y modelos de referencia adoptados por la Institución enmateria de
TIC.
- Las políticas, objetivos y estrategias definidas en materia de TIC.
- Las soluciones tecnológicas y flujos existentes de información en laInstitución, así
como en aquellos procesos del "Marco rector de procesosen materia de TIC" en
donde se tomen decisiones.
2. Documentar y difundir una directriz rectora en donde se definan los
antecedentes,sustentos y justificaciones de la necesidad de implantar, a través de la
UTIC, laadministración de riesgos de TIC en la Institución.
La directriz rectora deberá:
 Mantenerse alineada con la estrategia de administración de riesgo de la Institución.
 Establecer los roles y responsabilidades de los servidores públicos que intervienen en
el presente proceso.
 Integrar los requerimientos regulatorios aplicables.
 Contener, entre otros, elementos siguientes:
- Umbrales de tolerancia al riesgo en materia de TIC de la Institución.
- Mecanismos o métodos que medirán el presente proceso y laadministración de
riesgos en materia de TIC.
- Procesos, métodos y herramientas que se usarán para administrar los riesgos en
materia de de TIC.
- Acciones que serán tomadas para corregir las desviaciones de loslímites de
exposición al riesgo, así como los ajustes preventivos a los niveles de tolerancia al
riesgo.
 Establecer la forma y periodicidad en que se informará a los grupos de
trabajoinvolucrados y a los usuarios, sobre los riesgos en materia de TIC a los que
seencuentran expuestos los procesos y servicios que utilizan.
 Contener las acciones que deberán aplicarse cuando pudiera existir incumplimiento en
la administración de un riesgo en materia de TIC.
 Establecer criterios para incluir consideraciones de riesgos en materia de TIC, en la
toma de decisiones estratégicas de la Institución.
 Definir la periodicidad con la que se efectuará la revisión de la Directriz rectora y, en su
caso, respecto a su actualización.
 Definir la periodicidad con la que se efectuará la revisión de la Directriz rectora y, en su
caso, respecto a su actualización.
 Definir los reportes de gestión del proceso de Administración de riesgos de TIC y la
periodicidad con la que se elaborarán y comunicarán.
 Establecer la forma en que se difundirá la Directriz rectora.
3. Enviar para revisión y, en su caso, aprobación la Directriz rectora del proceso
deadministración de riesgos de TIC al Grupo de trabajo para la dirección de TIC.
El Sistema de administración de riesgos de TIC se constituye mediante la
instrumentación y operación de la Directriz rectora.
Relación  Anexo 5, Formato 1 "Descripción de roles y responsabilidades del Grupo de trabajo de
deproductos riesgos de TIC"
 Anexo 5, Formato 2 "Directriz rectora del proceso de administración de riesgos de TIC"
ARTI-2 Evaluar los riesgos de TIC
Descripción Evaluar los riesgos de TIC que permitan identificar los impactos sobre los procesos y
losservicios de la Institución.
Factorescríticos El Grupo de trabajo de riesgos de TIC deberá:
1. Recopilar los datos relevantes relacionados con los riesgos de TIC, tales como:
a) Incidentes que hayan tenido algún impacto en la Institución.
b) Riesgos del activo o recurso a evaluar.
c) Controles actualmente implementados en los activos o recursos a evaluar.
2. Identificar y clasificar las amenazas y riesgos en materia de TIC, conforme a
losiguiente:
 No causadas por el hombre:
- Fallas de TIC o de infraestructura de soporte.
- Desastres naturales.
 Causados por el hombre:
- Dolosas, son aquéllas realizadas con la intención de causar un daño.
- Culposas, son aquéllas que sin intención alguna se causa un daño.
3. Identificar los factores de riesgo que afecten a la Institución, los cuales
puedenclasificarse en:
 Financieros.
 Niveles de servicios en materia de TIC.
 Imagen o reputación en materia de TIC.
 Regulatorios.
4. Identificar y analizar escenarios de riesgo de TIC que permitan evaluar y obtener
losimpactos potenciales considerando, entre otros, los elementos siguientes:
 Servicios.
 Procesos.
 Datos (operativos, nómina, contables, entre otros).
 Software (sistemas, aplicaciones, entre otros).
 Hardware.
 Equipos informáticos que hospedan datos, aplicaciones y servicios.
 Equipos de comunicaciones.
 Dispositivos de almacenamiento.
 Usuarios y de personal externo a la Institución.
Para cada escenario de riesgo se debe definir y acordar la prioridad para
suimplantación, algunos de los parámetros que pueden ser considerados para
dichaprioridad son:
 Severidad del riesgo.
 Nivel de impacto de la implantación.
 Costo de la implantación.
5. Integrar las matrices de riesgo de TIC, que sean necesarias, con la
informaciónreferida en los numerales de 1 a 4 anteriores.
Relación  Anexo 5, Formato 3 "Matrices de riesgo de TIC"
deproductos
 Repositorio de riesgos de TIC
ARTI-3 Responder a los riesgos de TIC
Descripción Responder a los riesgos de TIC de acuerdo las decisiones para su tratamiento y
loscriterios de priorización.

1. Identificar el nivel de severidad del riesgo.
2. Identificar opciones para el tratamiento y control del riesgo a efecto de tomar
lasdecisiones para:
a) Aceptar el riesgo: No se efectúa ninguna acción debido a que el nivel de riesgoestá
dentro de los niveles aceptables por la entidad o dependencia.
b) Evitar el riesgo: Se elimina la causa que produce el riesgo.
c) Transferir el riesgo: Se transfiere y comparte el riesgo.
d) Mitigar el riesgo: Se implementan acciones para reducir el riesgo a un
nivelaceptable.
3. Identificar acciones preventivas y correctivas y correlacionarlas para cada uno de
losescenarios de riesgos identificados. Estas acciones se deberán integrar a
lasDeclaraciones de aplicabilidad.
4. Definir programas de mitigación del riesgo, los cuales considerarán las
acciones para implantar los controles de riesgos en las Declaraciones de
aplicabilidad.
5. Definir un Programa de contingencia para hacer frente a los eventos o incidentes
delos riesgos identificados que en materia de TIC pudieran presentarse.
Relación de  Anexo 5, Formato 4 "Declaraciones de aplicabilidad"
productos
 Anexo 5, Formato 5 "Programas de mitigación de riesgos"
 Anexo 5, Formato 6 "Programas de contingencia"
 Repositorio de riesgos de TIC.

Rol Descripción
Grupo de  Revisa y, en su caso, aprueba la Directriz rectora del proceso deAdministración de
trabajo para la riesgos de TIC.
dirección de TIC
Titular de la  Integra el Grupo de trabajo de riesgos de TIC.
UTIC
Grupos de  Realiza las actividades contenidas en el presente proceso.
trabajo de
riesgos de TIC
5.2.2.3 Indicadores
Nombre Objetivo Descripción Dimensión Tipo Fórmula Responsable Frecuencia

de cálculo
Cumplimiento Obtener la Conocer el Efectividad De % de efectividad= Grupo de Semestral

de la efectividad del cumplimiento gestión (Directrices de trabajo de
administración proceso del proceso administración de riesgos de TIC
de riesgos de por la riesgos de TIC
TIC medición de implantadas /
la Directrices de la
implantación administración de
de las riesgos de TIC
directrices planeadas) *100
rectoras del
proceso
la administración del proceso.
1.2 La UTIC, a través del Grupo de trabajo de riesgos de TIC, establecerá las directrices para
laadministración de riesgos de TIC de la Institución.
1.3 El Grupo de trabajo de riesgos de TIC será responsable de este proceso
1.6 El Grupo de trabajo de riesgos de TIC deberá definir los roles y responsabilidades de
losservidores públicos que intervendrán en los programas definidos en este proceso,
siguiendo elproceso de Establecimiento del modelo de gobernabilidad de TIC.
1.7 El Grupo de trabajo de riesgos de TIC deberá establecer, mediante la Directriz rectora
delproceso de administración de riesgos de TIC, los reportes de la gestión de este
proceso.
1.8 La UTIC, a través del Grupo de trabajo de riesgos de TIC, deberá implementar y
manteneractualizado un repositorio en el cual se contendrá la totalidad de la información
que se genere através del presente proceso.

www.maagtic.gob.mx
5.3 ADMINISTRACION DE PROYECTOS
5.3.1 Administración del portafolio de proyectos de TIC
General:
Administrar las iniciativas de TIC a fin de optimizar la aplicación de los recursos para obtener
mayoresbeneficios en la Institución.
Específicos:
1. Establecer las directrices para la integración y administración del Portafolio de proyectos de TIC.
2. Permitir una visión integral de los proyectos de TIC que genere sinergias en su ejecución.
3. Actualizar el Portafolio de proyectos de TIC para minimizar las consecuencias de las
desviacionesrespecto de lo programado y realizar acciones correctivas.
APP-1 Establecer directrices para el gobierno y evaluación del Portafolio de proyectos de TIC
Descripción Definir los criterios para la toma de decisiones sobre la asignación y uso de los
recursos de la Institución en proyectos de TIC.
Factorescríticos
1. El Grupo de trabajo para la dirección de TIC, en lo concerniente al gobierno
delPortafolio de proyectos de TIC, tomará decisiones acerca de:
 Prioridades de las iniciativas en materia de TIC.
 Presupuesto estimado, autorizado y, en su caso, modificado.
 Alineación de las inversiones en proyectos de TIC a las necesidades y objetivos de
la Institución.
 Autorización de nuevas iniciativas de TIC, suspensión, cambios o cancelación de
proyectos/programas y reasignación de recursos entre proyectos.
 La pertinencia de contar en la UTIC con el apoyo de un área para la administración
de los proyectos y los programas, para la gestión adecuada del Portafolio de
proyectos de TIC, cuyas principales actividades sería:
- Integrar el Portafolio de proyectos de TIC.
- Difundir el estado del portafolio, a través de una herramienta de gestión del
portafolio y los proyectos que contiene (Tablero de control de proyectos).
- Alinear las iniciativas susceptibles de concretarse en proyectos.
- Priorizar y equilibrar el Portafolio de proyectos de TIC.
- Proporcionar asesoría acerca de la gestión del Portafolio de proyectos deTIC.
- Dar seguimiento al portafolio a fin de preveer riesgos y desviaciones.
De no estimarse pertinente que la UTIC cuente con el apoyo señalado,
lasactividades se realizarán por la propia UTIC, a través del responsable
oresponsables que se designen para tales efectos.
2. El Titular de la UTIC designará al Administrador del portafolio de proyectos de TIC.
3. El Administrador del portafolio de proyectos de TIC se encargará de:
 Clasificar por grupos y categorías las iniciativas de TIC derivadas de los procesos
que las generen, así como de aquellas otras fuentes que detonen iniciativas de
TIC.
Dichas categorías permitirán determinar los criterios, los niveles de aprobación y el
procedimiento para la elaboración del Caso de negocio, así como la evaluación,
selección y, en su caso, autorización para el inicio del proyecto o proyectos que se
deriven.
 Definir los criterios de evaluación de iniciativas de TIC de cada categoría y
laspropiedades para otorgar un peso conforme a lo siguiente:
- Alineación/contribución a los objetivos y estrategias de la Institución.
- Criterios financieros.
- Criterios de riesgos.
- Criterios de aspectos normativos y legales.
- Criterios de recursos humanos.
- Criterios técnicos.
- Criterios de impacto y capacidad de la Institución.
- Criterio de contrataciones relacionadas.
 Definir los parámetros de evaluación de criterios que serán usados por cada
categoría, lo que permitirá determinar un orden para la selección deiniciativas de
TIC, pudiendo ser cualitativos y/o cuantitativos.
 Presentar al Grupo de trabajo para la dirección de TIC, para su autorización, el
Portafolio de proyectos de TIC, así como las características de las mismas.
 Presentar al Grupo de trabajo para la dirección de TIC, para su autorización, el
Portafolio de proyectos de TIC, así como las características de las mismas.
Relación  Anexo 6, Formato 1 "Criterios de evaluación de iniciativas de TIC"

deproductos
APP-2 Identificar y documentar iniciativas de TIC
Descripción Dar seguimiento a las iniciativas de TIC durante su ciclo de vida.

Factorescríticos El Administrador del Portafolio de proyectos de TIC deberá:
1. Mantener actualizado el registro de las iniciativas de TIC y sus proyectos, así
como el de los programas a los que pertenezcan.
2. Identificar e integrar todas las iniciativas de TIC de la Institución, incluyendo
lassiguientes:
 Las obtenidas en el proceso de Planeación estratégica de TIC.
 Las provenientes de las necesidades de desarrollo de nuevos servicios de TIC o de
ajustes a servicios existentes.
 Las relativas a la continuidad de los servicio.
 Las de infraestructura y soporte.
3. Clasificar las iniciativas de TIC de acuerdo a los grupos y categorías definidos en
losCriterios de evaluación de Iniciativas de TIC.
4. Integrar al Portafolio de proyectos de TIC cada iniciativa de TIC considerando
comomínimo la información siguiente:
 Identificación (nombre, fuente de la iniciativa de TIC, unidad responsable impulsora,
unidad responsable solicitante, entre otros).
 Alcance de alto nivel (objetivos de la iniciativa de TIC, alcance, cronograma de alto
nivel, objetivos estratégicos que justifica la iniciativa de TIC,
beneficioscuantitativos y cualitativos, recursos, entregables y riesgos).
 De gobierno (marco organizacional de gobierno sugerido para la ejecución de la
iniciativa de TIC).
 Administrador de la iniciativa de TIC.
 De seguimiento (el estado y los cambios aprobados a la iniciativa de TIC).
5. Elaborar el Caso de negocio de manera conjunta con la unidad
responsable impulsora de la iniciativa de TIC y el servidor público que sea
designado por el Grupo de trabajo para la dirección de TIC.
 El Caso de negocio contendrá:
- La información suficiente para evaluar, seleccionar y priorizar la iniciativa.
- Los beneficios esperados por la Institución y la forma de medición.
6. Evaluar, periódicamente, durante todo el ciclo de vida de la iniciativa de TIC,
la vigencia del Caso de negocio, confrontándolo con cambios en la estrategia,
el entorno, costos, incremento en riesgos o reducción de los beneficios esperados.
7. Actualizar, en su caso, el Caso de negocio y realizar los cambios que
seansignificativos, presentando la información del impacto al Grupo de trabajo
para ladirección de TIC para que se evalúe si se continúa con la ejecución de la
iniciativa de TIC y de ser el caso apruebe dichos cambios.
8. Integrar el Caso de negocio en el repositorio de iniciativas de TIC, incluyendo
lainformación que se señala en el numeral anterior.
Relación de  Anexo 6, Formato 2 "Caso de negocio"
productos
 Repositorio de iniciativas de TIC
APP-3 Evaluar, seleccionar y priorizar iniciativas de TIC

Descripción Las iniciativas de TIC se evaluarán por grupos y categorías. Los resultados de
dichaevaluación se utilizan para seleccionar aquéllas que serán propuestas al
Grupo de trabajopara la dirección de TIC, a efecto de obtener su priorización y, en
su caso, autorización.
Factorescríticos El Administrador de Portafolio de proyectos de TIC deberá:
1. Evaluar cada iniciativa de TIC de acuerdo a los criterios correspondientes a
sucategoría.
2. Elaborar informes y representaciones gráficas de los resultados de las
evaluacionespara facilitar la toma de decisiones al Grupo de trabajo para la
dirección de TIC.
3. Emitir recomendaciones del proceso de Evaluación de TIC.
4. Seleccionar las iniciativas de TIC que serán propuestas para priorización y, en
sucaso, autorización del Grupo de trabajo para la dirección de TIC.
 Para dicha selección se elaborarán diversos análisis, entre los que se encuentran:
- Análisis de capacidad de recursos humanos.
- Análisis de capacidad financiera.
- Análisis de capacidad de activos e infraestructura.
- Análisis de requerimientos financieros
- Análisis de las funciones sustantivas que sustentan la iniciativa de TIC.
- Análisis de los objetivos estratégicos que sustentan la iniciativa de TIC, asícomo el
nivel de aportación de valor a dichos objetivos.
5. Integrar la información resultante de las actividades antes señaladas al Reporte
deevaluación de iniciativas de TIC.
Relación de  Anexo 6, Formato 3 "Reporte de evaluación de iniciativas de TIC"

productos
APP-4 Priorizar, equilibrar y autorizar el Portafolio de proyectos de TIC
Descripción Asignar las prioridades que permitan comparar cada iniciativa de TIC que se
encuentrecontenida en el Portafolio de proyectos de TIC y que hayan sido
seleccionadas.
Factorescríticos
1. El Grupo de trabajo para la dirección de TIC deberá:
 Clasificar las iniciativas de TIC seleccionadas.
 Confirmar la clasificación de las iniciativas de TIC seleccionadas.
 Revisar y analizar el resultado de la evaluación de las iniciativas de
TICseleccionadas.
 Determinar y acordar el orden de prioridad de las iniciativas de TIC seleccionadas.
 Aplicar la toma de decisiones y autorizar las iniciativas de TIC, sin perjuicio de la
observancia de los procedimientos de contratación establecidos en
lasdisposiciones jurídicas aplicables.
2. El Administrador del Portafolio de proyectos realizará lo siguiente:
 Actualizar el Portafolio de proyectos de TIC con las iniciativas de TIC que hayansido
autorizadas por el Grupo de trabajo para la dirección de TIC.
 Equilibrar y, en su caso, ajustar el Portafolio de proyectos de TIC a través de
larevisión a los informes de rendimiento que se señalan en la actividad APP-6, con
el propósito de sugerir al Grupo de trabajo para la dirección de TIC, la re-
priorización, continuación, suspensión o cancelación.
 Someter a revisión y, en su caso, autorización del Grupo de trabajo para ladirección
de TIC el Portafolio de proyectos de TIC ajustado.
 Proponer al Titular de la UTIC la designación del servidor público de la UTIC que
fungirá como administrador para cada uno de los proyectos y/o programas de TIC
que sean autorizados.
3. El Administrador del Portafolio de proyectos de TIC comunicará a los
servidorespúblicos involucrados en este proceso las decisiones que hayan sido
tomadas por elGrupo de trabajo para la dirección de TIC, así como del
seguimiento al Portafolio deproyectos de TIC.
En la realización de esta actividad se deberá establecer y mantener actualizado el
Tablerode control de proyectos.
Relación de  Portafolio de proyectos de TIC

productos
 Anexo 6, Formato 4 "Bitácora de cambios al Portafolio de proyectos de TIC"
 Tablero de control de proyectos
APP-5 Gobernar el proyecto/programa de la iniciativa de TIC
Descripción Gobernar las iniciativas de TIC orientando las acciones a una coordinación
optimizada de las actividades de administración de proyectos/programas.
Factorescríticos
1. El Administrador de iniciativa de TIC deberá:
 Revisar toda la información relativa a la iniciativa de TIC.
 Identificar las distintas alternativas establecidas en el Caso de negocio de lainiciativa
de TIC.
 Evaluar los beneficios, costos, riesgos y tiempo de cada alternativa.
 Seleccionar la alternativa con mayor potencial de valor, dentro de las restricciones
de tiempo y el costo autorizado.
 Documentar la justificación de la selección efectuada.
 Determinar los proyectos que integrarán el programa para la realización de
lainiciativa de TIC para lo cual:
- Elaborará la justificación del programa que integrará los proyectos, tomando en
cuenta la descripción del Caso de negocio de cada uno de dichos proyectos
incluyendo información relacionada con factores técnicos, de inversión y
normativos que puedan aplicar a cada proyecto.
 Elaborar un cronograma ejecutivo para el programa de proyectos de iniciativas de
TIC, que muestre la duración y las fechas de inicio y fin de cada proyecto.
- Dicho cronograma incluirá los hitos de control, a fin de dar seguimientopuntual al
programa.
 Verificar las autorizaciones y asignaciones correspondientes para el inicio
delprograma y sus proyectos, siguiendo el proceso de Administración
de proyectos.
 Elaborar una estrategia para administrar el programa de proyectos.
- Dicha estrategia integrará toda la información requerida para dirigir ycontrolar el
programa, incluyendo los costos, los recursos, loscronogramas, los alcances, los
riesgos y las comunicaciones.
- Se elaborarán en paralelo los cronogramas tanto del programa como de los
proyectos, siguiendo el proceso de Administración de proyectos de TIC.
- La estrategia estará sujeta a la revisión y la aprobación de las
unidadesresponsables solicitantes e involucradas.
 Elaborar una estrategia para la realización de beneficios del programa, la cual:
- Establecerá, para cada resultado clave del programa, al responsable delresultado,
la fecha estimada de obtención del resultado y su mecanismo de seguimiento.
- Contendrá los beneficios esperados para cada por resultado clave delprograma,
los riesgos que pueden representar una amenaza para elcumplimento de dichos
resultados y las acciones de mitigacióncorrespondientes.
 Dar seguimiento y controlar el rendimiento del programa para asegurar que
laejecución se lleve de acuerdo a las estrategias acordadas.
- Este seguimiento se deberá efectuar en toda la vida del programa e incluirá la
medición de rendimiento, la evaluación de tendencias y los riesgos, lo que
generará informes de seguimiento y control del rendimiento y de medición de
rendimiento.
- Este seguimiento se deberá efectuar en toda la vida del programa e incluirá la
medición de rendimiento, la evaluación de tendencias y los riesgos, lo que generará
informes de seguimiento y control del rendimiento y de medición de rendimiento.
Los informes antes señalados se distribuirán a todos los involucrados deesta
estrategia.
 Administrar las eventualidades del programa.
 Evaluar los resultados de la estrategia para la realización de beneficios delprograma.
- En caso de desviaciones se establecerán acciones correctivas y elmecanismo para
ejecutarlas.
Relación  Anexo 6, Formato 5 "Cronograma ejecutivo para el programa de proyectos deiniciativas

deproductos de TIC"
 Anexo 6, Formato 6 "Informe de seguimiento y control del rendimiento del programa"

 Anexo 6, Formato 7 "Informes de medición de rendimiento del programa"
 Estrategia para administrar el programa de proyectos
 Estrategia para la realización de beneficios
APP-6 Monitorear y controlar el Portafolio de proyectos de TIC
Descripción Mantener un monitoreo constante del estado que guardan las actividades de
los proyectos, así como su repercusión en los resultados de los programas, con el
fin de identificar y controlar las desviaciones y las eventualidades.
Factorescríticos El Administrador del Portafolio de proyectos de TIC deberá:
1. Evaluar de manera individual los proyectos para determinar su contribución
al Portafolio de proyectos de TIC y de manera global, para determinar si se
están cumpliendo los objetivos de la Institución.
2. Elaborar los informes de rendimiento de los componentes del Portafolio de
proyectosde TIC en ejecución.
3. Revisar el orden de prioridad de los componentes del Portafolio de proyectos de
TICconforme a lo siguiente
 Interdependencias.
 Alcances.
 Riesgos.
 Eventualidades.
 Resultados clave.
 Avances.
De dicha revisión se integrará un informe de rendimiento del Portafolio de
proyectos de TIC.
4. Presentar al Grupo de trabajo para la dirección de TIC los informes de
rendimiento para realizar la actividad APP-4, así como las eventualidades y
riesgos que impacten al Portafolio de proyectos de TIC y a los objetivos de la
Institución.
5. Comunicar a todos los involucrados en este proceso los ajustes o cambios en
elPortafolio de proyectos de TIC que hayan sido decididos por el Grupo de trabajo
parala dirección de TIC.
Relación de  Anexo 6, Formato 8 "Informe de rendimiento de los componentes del Portafolio de
productos proyectos de TIC"
 Anexo 6, Formato 9 "Informe de rendimiento del Portafolio de proyectos de TIC"
APP-7 Cerrar iniciativa de TIC
Descripción Cerrar la iniciativa de TIC, mediante la evaluación de los resultados y de

beneficios y laelaboración del informe final, desde la perspectiva de la Institución.
Factorescríticos El Administrador de Portafolio de Proyectos de TIC deberá:
1. Revisar los resultados y la documentación final de los proyectos asociados a
lainiciativa de TIC.
 En esta revisión se comparan los resultados obtenidos con los esperados,
deacuerdo a los criterios de medición documentados en el Caso de negocio de
lapropia iniciativa.
2. Evaluar los beneficios de la iniciativa de TIC mediante revisiones posteriores a
laconclusión.
 Dichas revisiones se efectuarán después de que hayan sido implementados
losproductos y servicios.
3. Realizar el informe final de la iniciativa de TIC.
 Integrado por los resultados y hallazgos de la revisión de los proyectos, así como las
lecciones aprendidas para mejorar la eficacia y eficiencia del presenteproceso.
Relación de  Informe final de iniciativa de TIC.

productos



Rol Descripción
Grupo de  Determina las acciones de gobernabilidad de TIC.
trabajo para la
dirección de
 Toma decisiones al respecto de los Casos de negocio.
TIC  Prioriza y autoriza las iniciativas de TIC, sin perjuicio de éstas se sujeten
alprocedimiento de contratación en términos de las disposiciones
jurídicas aplicables en la materia.
 Autoriza los ajustes al Portafolio de proyectos de TIC.
Administrador Establecer directrices para el gobierno y evaluación del Portafolio de Proyectos

del portafolio de TIC, monitorear y controlar el mismo.
de proyectos
de TIC
 Identifica, documenta, evalúa, selecciona y prioriza las iniciativas de TIC que deben
ser presentadas al Grupo de trabajo para la dirección de TIC.
 Cierra las iniciativas de TIC.
Unidad  Propone la iniciativa de TIC y define los requerimientos funcionales y, no funcionales,

responsable así como sus beneficios.
solicitante
Unidad  Promueve que la iniciativa de TIC que haya sido propuesta por la
responsable unidad responsable solicitante pueda concluir su ciclo de vida.
impulsora
Responsable Responsable de la dirección y control del programa de proyectos.
de la
administración
del programa
de proyectos
 Da cumplimiento a los proyectos que le son asignados.

Administradores
de proyectos
Administrador  Integra la información necesaria para integrar el programa y sus proyectos a

de iniciativa de lainiciativa de TIC, da seguimiento a éstos hasta su conclusión.
TIC
5.3.1.3 Indicadores
Frecuencia
Nombre Objetivo Descripción Dimensión Tipo Fórmula Responsable de
cálculo
Resultados del Conocer los Medir la Eficiencia De % eficiencia= UTIC Semestral
proceso de resultados del eficiencia del gestión (número de
Administración proceso de proceso por casos
del portafolio Administración el número de de negocio
de proyectos del portafolio de casos de desarrollados /
de TIC proyectos de negocio número de
TIC desarrollados solicitudes de
desarrollo de
iniciativas de
TIC)
X 100
Cumplimiento Conocer la Medir la Eficacia De % eficacia= UTIC Semestral
de beneficios obtención de eficiencia del gestión (Número de
resultados de proceso por beneficios
acuerdo a los beneficios alcanzados /
estrategia de alcanzados Número de
realización de beneficios
beneficios establecidos en
el
programa de
proyectos) X
100
la administración del mismo.
1.5 La UTIC deberá asegurar que la planeación y administración del Portafolio de proyectos de
TIC se apega a la normatividad.

www.maagtic.gob.mx
5.3.2 Administración de proyectos de TIC

General:
Obtener los resultados esperados de los proyectos de TIC, mediante una administración efectiva y
unacorrecta aplicación de conocimientos, habilidades, herramientas, técnicas y recursos en el
desarrollo de las actividades de los proyectos, con el fin de satisfacer, cumplir y superar las
necesidades y objetivos de las iniciativas de TIC.
Específicos:
1. Contar un documento que refleje integralmente la planeación que habrá de seguirse para
cada proyecto autorizado, con el propósito de tener un instrumento que guíe la ejecución del
propio proyecto para obtener los resultados esperados.
2. Aprovechar los elementos identificados que permitirán disminuir las probabilidades de desviaciones en
lo planeado, así como la mitigación de riesgos.
APTI-1: Iniciar el proyecto
Descripción Realizar las acciones que permitan iniciar la ejecución del proyecto.
Factores El Administrador de proyectos, designado en el proceso de Administración de
críticos Portafolio deproyectos de TIC, deberá:
1. Obtener y analizar la información de los antecedentes del proyecto, lo que le permitirá
comprender la importancia del proyecto y corroborar el alcance, de acuerdo a los
objetivos y requerimientos establecidos en los documentos que sustentaron
laaprobación de la ejecución del proyecto.
2. Identificar proyectos relacionados para determinar interdependencias,
coordinaresfuerzos, identificar riesgos y explorar alternativas que permitan evitar
conflictosentre proyectos mientras se cumple con sus objetivos.
3. Identificar a los interesados o actores del proyecto que participan, que pudieran
serafectados o que son beneficiados con el desarrollo de éste, documentando
yconciliando las expectativas sobre el proyecto.
La UTIC por sí, o por conducto de su área responsable, emitirá el Acta de
constitución delproyecto, con la que se formaliza el inicio de proyecto.
 Anexo 7, Formato 1 "Acta de constitución del proyecto"

Relación de
productos
APTI-2: Definir el ciclo de vida del proyecto
Descripción Analizar las características del proyecto y determinar el ciclo de vida del proyecto.
Factorescríticos
1. El Administrador del proyecto para determinar el ciclo de vida considerará,
entre otros factores, lo siguiente:
El tamaño del proyecto.
Las restricciones como el tiempo y objetivos de calidad.
La experiencia y familiaridad de su equipo de trabajo con las tecnologías a emplear y
los productos a desarrollar.
La información existente tales como: lecciones aprendidas, modelos de estimación y
mecanismos de comunicación.
Las guías de adaptación que se generan en el proceso de Operación del sistema de
gestión y mejora de los procesos de la UTIC.
Los modelos de ciclo de vida que se generan en el proceso de Operación delsistema
de gestión y mejora de los procesos de la UTIC.
Con la información antes mencionada elaborará el documento del ciclo de vida
delproyecto y actualizará el Repositorio central de proyectos.
2. Revisar, según sea necesario, el ciclo de vida del proyecto, conforme al proceso
deOperación del sistema de de gestión y mejora de los procesos de la UTIC. De
ser elcaso actualizará el Documento del ciclo de vida del proyecto, así como el
Repositoriocentral de proyectos.
3. Identificar el ambiente de trabajo necesario para el desarrollo del
proyecto (servidores, equipos de desarrollo, equipos de pruebas,
herramientas, infraestructura).
Relación de  Anexo 7, Formato 2 "Documento del ciclo de vida del proyecto"

productos
 Repositorio central del proyecto
APTI-3: Detallar el alcance
Descripción Recolectar, analizar y definir las necesidades y características del proyecto.
Factorescríticos El Administrador del proyecto deberá:

1. Confirmar el alcance del proyecto en función del producto o solución tecnológica
aentregar.
2. Acordar con todos los involucrados (unidad responsable solicitante e impulsora,
entreotros) el alcance del producto.
3. Acordar con su equipo de trabajo y otros involucrados (unidad responsable
solicitantee impulsora, entre otros) el alcance del trabajo.
4. Elaborar la estructura de desglose del trabajo conocida como EDT. Contiene,
entreotros elementos, las actividades que serán ejecutados por el equipo de
trabajo y losproductos o entregables que se generarán; organiza y define el
alcance total delproyecto.
Relación de  Anexo 7, formato 3 "Alcance del proyecto"
productos
 Anexo 7, formato 4 "Estructura de desglose del trabajo"
APTI-4: Elaborar el documento de planeación del proyecto/fase
Descripción Establecer las actividades que se realizarán para guiar la ejecución, seguimiento y
controldel proyecto a lo largo de su ciclo de vida. Asimismo, se establece la forma en
que secumplirá con los objetivos del proyecto.
Factorescríticos El Administrador del proyecto, conjuntamente con su equipo de trabajo,
realizará losiguiente:
1. Elaborará el cronograma del proyecto, el cual será incorporado en el documento
quese menciona en el numeral 3 de esta actividad, partiendo de la estructura
de desglose del trabajo y de acuerdo con las restricciones establecidas en el
Acta de constitución del proyecto.
Dicho cronograma señalará, al menos, las actividades, el diagrama de red con
lasactividades predecesoras y sucesoras, los estimados de tiempo, el cálculo
de lasduraciones y las fechas de inicio y fin.
Es fundamental incluir en el cronograma de actividades la provisión
del entrenamiento y capacitación que requiera el equipo de trabajo del proyecto.
2. Elaborará una propuesta de presupuesto para el proyecto, a partir de la estructura
dedesglose del trabajo y del cronograma del proyecto, misma que será integrada
aldocumento mencionado en el numeral 3 de esta actividad.
En caso de ser necesario se ajustará el alcance del proyecto y, en consecuencia,
elpropio Documento de planeación del proyecto/fase.
3. Desarrollará el Documento de planeación del proyecto/fase, el cual se integrará
con la información que haya sido autorizada para:
El alcance del proyecto.
La duración del proyecto.
El costo del proyecto.
La calidad del proyecto.
La distribución de los recursos humanos con que se cuenten para el proyecto.
Las comunicaciones del proyecto.
Los riesgos del proyecto.
Las adquisiciones del proyecto.
Los elementos y cambios al proyecto.
4. Someter a consideración y, en su caso, a aprobación de la UTIC el documento
deplaneación del proyecto/fase.
5. Revisar periódicamente el Documento de planeación del proyecto/fase,
procurandomantener el control de las versiones de las líneas base mediante
solicitudes decambios aprobadas, de conformidad con lo establecido en el
proceso deAdministración de cambios.
6. Dar a conocer a todos los involucrados del proyecto el Documento de planeación
delproyecto/fase, así como los cambios que se le realicen.
Relación  Anexo 7, Formato 5 "Documento de planeación del proyecto/fase"

deproductos
 Repositorio central de proyectos
APTI-5: Administrar los riesgos
Descripción Eliminar o minimizar los riesgos por medio de un proceso sistemático de

planeación,identificación, análisis, respuesta, monitoreo y control de las áreas de
la UTIC o unidadesresponsables involucradas, que tengan el potencial de
ocasionar cambios no deseados.
Factorescríticos El Administrador de proyectos y su grupo de trabajo deberán:
1. Identificar riesgos. La identificación de riesgos es un proceso iterativo debido a
que se pueden descubrir nuevos riesgos a medida que el proyecto avanza a lo
largo de su ciclo de vida. Los riesgos identificados se documentan en un registro
de riesgos.
2. Clasificar riesgos. Los riesgos se categorizan por tipo, se identifican y agrupan por
lacausa raíz y se elaboran propuestas que los minimicen o eliminen.
3. Responder a los riesgos. Se determina la prioridad de atención de los
riesgosidentificados y las acciones que serán realizadas para atender el riesgo,
incluyendolas acciones de mitigación y la definición de una propuesta de
contingencia.
4. Dar seguimiento y controlar riesgos. Realizar el seguimiento de los
riesgosidentificados, identificar nuevos riesgos, ejecutar las respuestas a los
riesgos yevaluar su efectividad a lo largo del ciclo de vida del proyecto.
5. Adecuar el documento de planeación del proyecto/fase, para incluir los
resultados que se obtengan de los numerales señalados en esta actividad y
actualizar el Repositorio central de proyectos.
Relación de  Anexo 7, Formato 6 "Registro de riesgos"

productos
 Repositorio central de proyectos
APTI-6: Dirigir y realizar el trabajo
Descripción Consiste en la dirección y coordinación de las acciones para ejecutar

el Documento deplaneación del proyecto/fase y su cronograma respectivo, con el
propósito de realizar eltrabajo ahí descrito.
Factorescríticos El Administrador de proyectos y su grupo de trabajo deberán:
1. Mantener operable el ambiente de trabajo del proyecto (servidores, equipos
dedesarrollo, equipos de pruebas, herramientas, infraestructura, entre otros).
2. Asegurar que se realiza el trabajo necesario para elaborar los productos
entregables y dar cumplimiento a los objetivos del proyecto de acuerdo a lo
planeado.
3. Durante la realización del trabajo se ejecutan las actividades de calidad de
acuerdo a lo establecido en el Documento de planeación del proyecto/fase.
4. Supervisar que la adquisición de los recursos y el equipo necesario para
la realización del trabajo se efectúe conforme al Documento de planeación
del proyecto/fase.
5. Actualizar la información del trabajo realizado en el Documento de planeación
delproyecto/fase
6. Distribuir la información requerida de acuerdo al Documento de planeación
delproyecto/fase, a efecto de que informe a los involucrados.
Relación de  Anexo 7, Formato 5 "Documento de planeación del proyecto/fase"

productos
APTI-7: Supervisar el trabajo y mantener controlado el proyecto
Descripción Supervisar el trabajo a través del seguimiento del Documento de planeación del
proyecto/fase, a efecto de mantener controlado el proyecto.
Factorescríticos El Administrador del proyecto deberá:
1. Dar seguimiento al rendimiento y avance del proyecto evaluando periódicamente
lospuntos de control que permitan identificar las variaciones respecto del
Documento deplaneación del proyecto/fase.
2. Controlar los cambios y recomendar las acciones preventivas como anticipación
deposibles problemas que permitan adoptar las acciones correctivas.
3. Integrar los informes de rendimiento y realizar revisiones del avance e hitos
de control del proyecto.
4. Entregar el informe del rendimiento del proyecto para revisarlo conjuntamente con
elAdministrador del portafolio de proyectos de TIC.
5. Analizar las eventualidades del proyecto y darles seguimiento hasta su cierre.
6. Acordar formalmente la aceptación de entregables con la unidad
responsablesolicitante y cualquier otro involucrado, lo que generará el Acta de
aceptación deentregables correspondiente
7. Realizar, en su caso, el control de los cambios al proyecto de manera que todos
loscambios que afecten a las líneas base del proyecto se revisen, aprueben
e incorporen de manera apropiada al Documento de planeación del proyecto/fase.
Se deberá de documentar conforme al formato de Solicitud de cambio.
8. Informar el seguimiento del proyecto y recibir retroalimentación de quien
correspondasobre los procesos de Administración de proveedores de productos y
servicios deTIC; de Adquisiciones de TIC; de Administración de presupuesto de
TIC y el deOperación del Sistema de gestión y mejora de los procesos de la UTIC.
En la realización de esta actividad se deberá actualizar el Tablero de control de
proyectos.
Relación de  Anexo 7, Formato 7 "Informes de rendimiento del programa de proyecto"
productos
 Anexo 7, Formato 8 "Actas de aceptación de entregables"
 Solicitudes de cambio
 Lista de asuntos y acuerdos
 Tablero de control de proyectos
APTI-8: Cerrar el proyecto/fase
Descripción Verificar que las actividades definidas en el Documento de planeación del

proyecto/fase, se hayan concluido a satisfacción del Administrador del proyecto y
de la unidad responsable solicitante.
Factorescríticos El Administrador del proyecto y su grupo de trabajo deberán:

1. Verificar que el expediente del proyecto contenga la documentación
soporte,resultados finales, archivos, cambios, directorios, evaluaciones y
leccionesaprendidas, entre otros.
2. Revisar y validar que el expediente y documentación dé sustento de la realización
delproyecto cumplan con los elementos de calidad previstos en los procesos
deOperación del sistema de gestión y mejora de los procesos de la UTIC y de
Calidad de soluciones tecnológicas.
3. Formalizar el cierre del proyecto a través del Acta de cierre firmada por la
unidadresponsable solicitante y/o unidad responsable impulsora, así como por
losresponsables de la Administración del proyecto.
4. Realizar las notificaciones correspondientes de término del proyecto, a los
servidorespúblicos correspondientes de los procesos de Administración del
Portafolio deproyectos de TIC, de Adquisiciones de TIC, de Administración de
proveedores deproductos y servicios de TIC, de Administración de presupuesto de
TIC y de Operación del Sistema de gestión y mejora de los procesos de la UTIC
del "Marco rector de procesos en materia de TIC", para que se lleven a cabo los
procesos de cierre correspondientes.
5. Verificar que la totalidad de los compromisos contractuales se hayan cumplido
asatisfacción de todos los involucrados en el proyecto, a efecto de realizar el
cierrecontractual.
6. Procurar la calidad y disponibilidad del expediente y documentación soporte
delproyecto de TIC, con la finalidad de que los mismos sean un apoyo para
futurosproyectos.
7. Aplicar a todos los involucrados en el proyecto un cuestionario de
retroalimentación de la ejecución del mismo.
Relación de  Anexo 7, Formato 9 "Acta de cierre"

productos
 Anexo 7, Formato 10 "Cuestionario de retroalimentación de la ejecución delproyecto"
 Producto/servicio final

Descripción del flujo de actividades

Rol Descripción
 Responsable del desarrollo y cumplimiento de las actividades del proyecto.
Administrador
del proyecto
 Responsable de liderar al equipo de trabajo del proyecto para alcanzar losobjetivos.
 Propicia la comunicación efectiva entre los involucrados en el proyecto.
 Establece acciones para la solución de los problemas que se presenten durante la
ejecución del proyecto.
Unidad  Trabaja estrechamente con los Administradores del Portafolio de proyectos de TIC y
responsable del proyecto para propiciar la agilidad y oportunidad de los resultados del proyecto.
impulsora
Unidad  Define los alcances del proyecto, establece los criterios funcionales deaceptación y
responsable recibe los entregables o productos de TIC del proyecto.
solicitante
Usuario  Las unidades responsables que hacen uso de los servicios de TIC.
Equipo de  Ejecuta las acciones definidas en el Documento de planeación de proyecto/fase.
trabajo del
proyecto
5.3.2.3 Indicadores
Frecuencia
Nombre Objetivo Descripción Dimensión Tipo Fórmula Responsable de
cálculo
Proyectos Conocer la Obtener la Eficiencia De % de eficiencia= UTIC Anual
cuya eficiencia del eficiencia del gestión (Número de
ejecución se proceso de proceso proyectos que
encuentran en Administración mediante la cumplieron su
tiempo de proyectos medición del cronograma de
avance en trabajo / Número
tiempo de total de
acuerdo a lo proyectos
programado ejecutados) X
100

1.1 Se designará un Administrador del proyecto para cada proyecto de TIC.
1.2 Los Administradores de proyecto se asegurarán de que todos los proyectos cuenten con
elDocumento de planeación de proyecto/fase.
1.3 Los Administradores de proyecto deberán asegurarse de que cualquier cambio a un

proyectoautorizado se realice mediante un Control cambios.
1.4 El Administrador del proyecto deberá contar con el expediente del proyecto de TIC, en el
quecada actividad esté debidamente documentada y actualizada, desde su inicio hasta su
cierre.


www.maagtic.gob.mx
5.4 ADMINISTRACION DE PROCESOS
5.4.1 Operación del sistema de gestión y mejora de los procesos de la UTIC

General:
Establecer y operar un Sistema de gestión y mejora de los procesos de la UTIC en el que se
verifiquen,monitoreen y evalúen los procesos y se consideren las acciones de mejora necesarias para
una operacióneficiente de la UTIC.
Específicos:
1. Contar un mecanismo que dé seguimiento a los procesos del "Marco rector de los procesos
en materia de TIC", con el propósito de tener un mejor control de los mismos.
2. Establecer y ejecutar mejoras para la ejecución de los procesos, apoyándose de los resultados de
laoperación de indicadores que se generan en los diversos procesos y la ejecución de evolución
sobrelos mismos, a fin de optimizar la operación del "Marco rector de los procesos en materia de TIC.
OSGP-1: Implantar el Sistema de gestión y mejora de los procesos de la UTIC
Descripción Desarrollar el Sistema de gestión y mejora de los procesos de la UTIC con un

enfoquesistémico alineado al "Marco rector de procesos en materia de TIC"
Factorescríticos El responsable del proceso de Operación del sistema de gestión y mejora de los
procesosde la UTIC deberá:
1. Establecer y mantener el Repositorio de activos de procesos, así como los
criteriospara incorporar elementos al mismo.
2. Integrar en el Repositorio de activos de procesos, características esenciales de
losprocesos del "Marco rector de procesos en materia de TIC", considerando por
lomenos la información siguiente:
 Objetivo y propósito de cada uno de los procesos.
 Responsables de cada uno de los procesos.
 Límites: Inicio y fin de cada uno de los procesos.
 Entradas y salidas.
 Proveedores y usuarios de cada uno de los procesos.
 Mecanismos de medición: Indicadores de cada uno de los procesos.
 Recursos de los procesos: humanos, financieros, infraestructura y ambiente
detrabajo.
 Representaciones gráficas: Mapa general del proceso.
 Factores críticos de cada uno de los procesos.
 Interrelaciones con otros procesos: Especificar secuencias e interacciones de los
procesos con el propósito de asegurar que existe una apropiada integraciónentre
ellos, incluyendo conexiones con procesos internos y externos.
Este factor crítico se debe apegar al proceso de Administración del conocimiento.
3. Modelar en forma gráfica, a través de un Mapa general de procesos, el Sistema
degestión y mejora de los procesos de la UTIC, mostrando la jerarquía, relación
einteracción entre los mismos.
4. Definir y comunicar oportunamente metas y objetivos específicos, medibles,
viables yorientados a resultados para cada proceso y que se sustenten en
métricasadecuadas.
5. Asignar un Responsable para cada proceso.
6. Completar la especificación de los procesos, estableciendo para cada
uno, frecuencia y resultados esperados. Proveer una secuencia lógica pero
flexible y escalable de actividades, que lleve a los resultados deseados y que sea
lo suficientemente ágil para manejar las excepciones y emergencias.
7. Verificar los roles, actividades y responsabilidades en la ejecución de los
procesos,incluyendo la documentación que se genere en los mismos.
8. Informar, a los involucrados del proceso, los resultados que se hayan obtenido de
laverificación en cada uno de los procesos.
9. Definir los documentos y activos del proceso que se encontrarán bajo control
decambios y de versiones.
10. Definir los objetivos de calidad de los procesos, las actividades de
verificación,validación, monitoreo, inspección, pruebas específicas y criterios de
aceptación paralos productos de cada proceso.
11. Elaborar registros para proveer evidencia sobre el cumplimiento de
requerimientos de los procesos y sus productos.
12. Identificar un conjunto de métricas que permitan apreciar los resultados y
eldesempeño del proceso e implementar acciones para corregir las
desviacionesrespecto a las metas, cuando sea necesario.
13. Alinear métricas, objetivos y métodos con el enfoque de monitoreo global
delrendimiento de TIC, establecido en el proceso de Administración de la
evaluación de
13. Alinear métricas, objetivos y métodos con el enfoque de monitoreo global
delrendimiento de TIC, establecido en el proceso de Administración de la
evaluación deTIC.
14. Establecer y, actualizar, los modelos de ciclo de vida aplicables.
15. Establecer y, actualizar, las guías de adaptación de manera que permitan crear
un"proceso específico" válido únicamente para que responda a las
necesidadesespecíficas de los diversos tipos de proyecto.
16. Establecer los estándares de ambiente de trabajo para la operación de los procesos y
proyectos de la UTIC considerando: instalaciones, espacio de trabajo,
herramientasasociadas, software e infraestructura.
17. Integrar en el Documento de administración del proceso (también llamado Plan
decalidad del proceso, según ISO 9001) los elementos necesarios para la
dirección,realización y control del proceso.
18. Revisar en forma periódica las necesidades de definición y control de los procesos de
TIC de la Institución.
Relación  Anexo 8 Formato 1 "Mapa general del proceso"
deproductos
 Anexo 8 Formato 2 "Documento de administración del proceso"
 Anexo 8 Formato 3 "Modelos de ciclo de vida"
 Anexo 8 Formato 4 "Guías de adaptación"
 Anexo 8 Formato 5 "Estándares de ambiente de trabajo"
 Repositorio de activos de procesos
OSGP-2: Ejecutar la planeación de implementación de mejora de los procesos y operar el

Sistema de gestión y mejora de los procesos de la UTIC.
Descripción Elaborar los documentos para la implementación de mejora de los procesos y

operar elSistema de gestión y mejora de los procesos de la UTIC.
Factorescríticos El Responsable del proceso de Operación del sistema de gestión y mejora de los
procesosde la UTIC deberá:
1. Elaborar las estrategias y medidas de acción detallados en un Documento
deplaneación para la implementación de mejora de procesos, considerando al
menos los siguientes elementos:
 Mapa general del proceso.
 Documento de administración del proceso.
 La información contenida en el Repositorio de activos de procesos.
 Las solicitudes de mejora, en caso de haberse recibido.
 Los indicadores de rendimiento.
 Los recursos de TIC.
 Los proyectos de servicios de TIC en desarrollo y compromisos de la UTIC.
 Las áreas de la UTIC a las cuales se les aplica una acción de mejora en el proceso.
2. Elaborar el proyecto de implementación de mejora de procesos y de
despliegue,siguiendo el proceso de Administración de proyectos de TIC, el cual
contendrá.
 La ejecución de pruebas piloto de las mejoras de proceso seleccionadas.
 La revisión y negociación las acciones y compromisos con los
involucradosrelevantes y con los equipos involucrados.
 El establecimiento de equipos de trabajo para el proyecto.
 La verificación de que los proyectos, servicios y actividades no sean afectados en su
ciclo de vida incluyendo:
- Servicios en etapa de diseño o en su ejecución.
- Proyectos que inician.
- Proyectos activos que se podrían beneficiar de la implementación.
- Actividades de operación críticas en la provisión de los servicios de TIC.
3. Comunicar el proyecto de implementación de mejora de procesos a los
involucrados.
4. Ejecutar el proyecto de implementación de mejora de procesos y operar el
Sistema de gestión y mejora de los procesos de la UTIC, procurando la realización
de lassiguientes actividades:
 Asesoría y soporte en la adaptación de los procesos de acuerdo a las necesidades
propias de los proyectos y servicios.
- Registrar las adaptaciones a los procesos, incluyendo evidencias.
- Comunicar las adaptaciones efectuadas.
 Asesoría sobre el uso de los activos de los procesos.
5. Dirigir, supervisar y controlar el trabajo de los equipos de trabajo y de
los involucrados para monitorear el avance y los resultados del proyecto
de implementación de mejora de procesos.
6. Recopilar las lecciones aprendidas en la definición, pilotaje, implementación
ydespliegue de las mejoras de los procesos y ponerlas a disposición de
losinvolucrados e interesados.
Relación  Anexo 8, Formato 6 "Documento de planeación para la implementación de mejora de
deproductos procesos"
 Anexo 8, Formato 7 "Proyecto de implementación de mejora de procesos"

 Anexo 8, Formato 8 "Lecciones aprendidas"
 Repositorio de activos de procesos
 Repositorio de métricas de procesos
OSGP-3: Monitorear y evaluar la operación del Sistema de gestión y mejora de los procesos
de la UTIC
Descripción Dar seguimiento y evaluar la operación del Sistema de gestión y mejora de los
procesos de la UTIC.
Factores Se deberá de establecer un Grupo de trabajo de aseguramiento de calidad en
críticos lasInstituciones, integrado por diversos servidores públicos de la UTIC.
Dicho grupo deberá:
1. Contar con el compromiso de los involucrados para la evaluación de los procesos
de la UTIC, con el propósito de:
 Obtener un diagnóstico del estado actual de los procesos de la UTIC.
 Obtener un inventario de las capacidades del personal que interviene en laejecución de
los procesos.
 Identificar los procesos que tienen oportunidades de mejora.
 Confirmar el avance del proyecto de implementación de mejora de procesos y hacer
visibles los beneficios de mejora de procesos.
 Generar conciencia del valor y los beneficios potenciales de la inversión en
elestablecimiento y mejora de los procesos
 Motivar a los involucrados y facilitar la aceptación del cambio.
2. Monitorear y medir los productos/servicios de los procesos:
 Verificar que los requerimientos se han cumplido.
 Conservar evidencia de la conformidad con los criterios de aceptación.
3. Monitorear y medir los procesos:
 Aplicar métodos apropiados para dar seguimiento a los procesos. Los métodos que se
utilicen deberán evidenciar la eficiencia de los procesos.
 Implementar acciones para corregir la desviación y eliminar, de ser posible, la causa
raíz, cuando no se obtengan los resultados esperados.
 Conservar evidencia de la conformidad con los criterios de aceptación.
 Alinear las capacidades de los involucrados con los procesos que operan, enapego a
los procesos de Establecimiento del modelo de gobernabilidad de TIC y de
Integración y desarrollo de personal.
4. Elaborar el Documento de planeación de evaluación, así como conducir, al
menos una vez al año, las evaluaciones en intervalos planeados, para determinar si
los procesos establecidos se apegan al "Marco rector de procesos en materia de
TIC", con base en los niveles de evaluación previstos para cada proceso:
 Definir los criterios, el alcance, la frecuencia y los métodos de las evaluaciones.
 Promover la objetividad de las evaluaciones.
 Seleccionar a los evaluadores de calidad de manera que se asegure la objetividad y la
imparcialidad de la evaluación. Los evaluadores no deberán evaluar su propio trabajo.
En caso de que la evaluación tenga como propósito demostrar el cumplimiento de un
estándar ante terceros (tal como CMMI , ISO 9001, ISO 20000, ISO 27001, etc.) el
evaluador deberá estar acreditado ante las
organizaciones que determinen lospropietarios de los derechos
de autor del estándar que se trate.
 Establecer el Programa de evaluaciones tomando en cuenta tanto el estado y
laimportancia de los procesos y las áreas de la UTIC a ser evaluadas como
losresultados de evaluaciones anteriores.
 Considerar la evaluación periódica de los procesos.
 Elaborar análisis comparativos entre los procesos evaluados.
 Registrar y comunicar los resultados de las evaluaciones.
 El Responsable del proceso evaluado procurará que se efectúen accionesrelacionadas
con los hallazgos encontrados durante las evaluaciones.
5. Integrar en el reporte de evaluación de procesos lo siguiente:
 Los resultados de la evaluación.
 Los resultados de la evaluación.
 Los hallazgos (el estado de las "no conformidades" provee un indicador de lacalidad de
los procesos de la UTIC).
 Las oportunidades de mejora identificadas, por proceso y de diversas fuentes,como lo
son:
Lecciones aprendidas en la implementación de los procesos.
Propuestas y solicitudes de mejoras de procesos elaboradas por losinvolucrados en la
administración, control y ejecución del proceso.
Resultados de las evaluaciones efectuadas a los procesos.
Informes de la información de medición y análisis de la evaluación de losprocesos.
Resultados de análisis comparativo con otros procesos del "Marco rector de procesos en
materia de TIC" del presente manual.
Recomendaciones de otras instancias de la Administración Pública Federal.
6. Registrar y comunicar los resultados obtenidos para la definición de las acciones
demejora a ser implementadas.
Relación  Anexo 8, Formato 9 "Documento de planeación de evaluación"

deproductos
 Anexo 8, Formato 10 "Análisis comparativo"
 Anexo 8, Formato 11 "Reporte de evaluación de procesos"
 Anexo 8, Formato 12 "Solicitudes de mejoras de procesos"
 Repositorio de solicitudes de mejora
OSGP-4: Ejecutar las acciones de mejora a los procesos de la UTIC
Descripción Se ejecutan las acciones de la mejora a los procesos del "Marco rector de procesos
enmateria de TIC".
Factores 1. Se establecerá un Grupo de trabajo de procesos y mejora continua de la UTIC en
críticos lasInstituciones, integrado por diversos servidores públicos de la UTIC.
Dicho grupo será el responsable de administrar las mejoras a los procesos de
la UTIC, de manera ordenada y orientado al beneficio de la Institución, mediante
un proceso de Control de cambios.
2. El Grupo de trabajo de procesos y mejora continua de la UTIC deberá:
 Registrar en el Repositorio de solicitudes de mejora las Solicitudes de mejora de
procesos.
 Analizar, priorizar y seleccionar las propuestas de mejora, considerando loscriterios
siguientes:
- Menor costo y horas de trabajo.
- Mayores beneficios tangibles e intangibles resultantes de las propuestas demejora.
- Mayor contribución de las mejoras propuestas al cumplimiento del PETIC.
- Mínimas barreras potenciales a la implementación de las propuestas.
 Documentar las mejoras propuestas como iniciativas de TIC o proyectos de mejora,
conforme a lo establecido en el proceso de Administración del Portafolio de proyectos
de TIC, para su evaluación, selección y autorización correspondiente.
 Dar seguimiento a las "no conformidades" hasta su cierre y validar que lasacciones
correctivas implementadas son efectivas.
 Elaborar el documento que contenga el resultado de mejoras implementadas.
 Iniciar un nuevo ciclo del proyecto, si las acciones realizadas no tienen el resultado
esperado, para lo cual se deberá regresar a la actividad de OSGP-1, para determinar
las necesidades del Sistema de gestión y mejora de los procesos de la UTIC.
 Integrar la información del resultado de mejoras implementadas.
 Anexo 8, Formato 12 "Solicitudes de mejoras de procesos"

Relación de
productos
 Anexo 8, Formato 13 "Informes de medición y análisis"
 Anexo 8, Formato 14 "Resultado de mejoras implementadas"
 Repositorio de solicitudes de mejora

Rol Descripción
Responsable Coordina y administra las tareas de evaluación, definición, implementación
de mejora de ydespliegue de las iniciativas/proyectos de mejora de los procesos de la UTIC,así
procesos como la administración de las solicitudes de mejora y lecciones aprendidas.
Grupo de  Coordina las actividades de evaluación, desarrolla la planeación de actividades y se
aseguramiento
asegura de su ejecución.
de calidad
 Reporta al Responsable de mejora de los procesos los resultados de lasactividades
de evaluación.
 Responsable de realizar actividades del Documento de planeación de evaluación.

Evaluador de
calidad
Grupo de  Responsable de planear y desplegar el Documento de planeación de implantación de
trabajo de mejora.
mejora
continua de Apoya en la definición de los procesos de la UTIC y asesora en su operación.
TIC
Responsable Responsable de asegurar que el proceso se ejecute de acuerdo al Documento de
del proceso administración del proceso y de que éste cumple con sus objetivos.
5.4.1.3 Indicadores
Frecuencia
de cálculo
Cumplimiento Conocer la Medir el Eficiencia De % de eficiencia= Responsable Semestral
de procesos eficiencia del porcentaje de gestión (número de del Sistema
apegados al proceso cumplimiento de procesos que se de
marco rector mediante el procesos efectúan con gestión y
cumplimiento conforme al apego mejora de los
del "Marco rector de al "Marco rector "/ procesos de la
"Marco rector procesos en número de UTIC
de materia de TIC" procesos
procesos en adoptados del
materia de TIC" "Marco rector de
procesos en
materia
de TIC") X 100
Resultados del Conocer la Medir los Eficiencia De % de eficiencia= Responsable Semestral

Sistema de eficiencia del resultados del gestión (Total mejoras de mejora de
gestión y proceso sistema en implementadas / procesos
mejora de los mediante las cuanto a Total de mejoras
procesos de la acciones de implementación identificadas) x
UTIC mejora de mejoras 100
implementadas
1.1 La UTIC regirá su gestión con estricto apego a los procesos del "Marco rector de
procesos enmateria de TIC", contenidos en el presente Manual.
1.2. Los procedimientos e instrucciones de trabajo que establezca la UTIC deberán estar
alineados a los procesos del "Marco rector de procesos en materia de TIC".
1.3 Serán extensivas a este proceso las disposiciones de seguridad de la

información establecidas por medio del SGSI.

1.6 El responsable de la UTIC, mediante este proceso, deberá verificar que los participantes
en laejecución de los procesos del "Marco rector de procesos en materia de TIC" del
presenteManual cuenten con las capacidades, habilidades y conocimientos para realizar
las actividades y tareas asociadas al rol que les sea asignado.
1.7 El Responsable de la UTIC para cada proceso deberá revisar y aprobar el Documento
deadministración del proceso correspondiente.
1.8 El Titular de la UTIC, mediante este proceso asignar un responsable de administrar cada
uno de los procesos del "Marco rector de procesos en materia de TIC" del presente
Manual.
1.9 El Administrador de este proceso realizará evaluaciones semestrales documentadas a fin
deverificar que la operación de los procesos corresponda al Documento de administración
delproceso.

www.maagtic.gob.mx
5.5 ADMINISTRACION DE RECURSOS
5.5.1 Administración del presupuesto de TIC
General:
Coordinar las acciones para el ejercicio del presupuesto asignado a las TIC, a fin de maximizar
la aplicación de éste en los proyectos y operaciones planeadas.
Específicos:
1. Identificar y consolidar los requerimientos de proyectos y servicios de TIC en los
portafolioscorrespondientes.
2. Organizar los portafolios de proyectos y servicios de TIC a fin de mejorar su
rentabilidad considerando minimizar los costos, maximizar los beneficios por medio de estrategias
adecuadas.
3. Participar en la priorización de proyectos para que optimicen costos y maximicen beneficios.
4. Mantener actualizados los registros del presupuesto de TIC en el Repositorio de iniciativas de
TIC, para cada rubro de gasto e inversión.
(Continúa en la Segunda Sección)
ACUERDO por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de
laInformación y Comunicaciones (Continúa de la Primera Sección)
(Viene de la página 68 de la Primera Sección)
APT-1 Establecer el seguimiento del presupuesto de TIC

Descripción Definir las acciones necesarias para dar seguimiento al presupuesto autorizado por
lasinstancias competentes, mediante la información de los Portafolios de proyectos y
deservicios de TIC y en el Programa de aprovisionamiento de infraestructura, propios de
laUTIC.
Factores El Responsable del seguimiento del presupuesto, con el apoyo del Responsable
críticos delpresente proceso, deberá:
1. Mantener comunicación efectiva con las unidades responsables de administrar losrecursos
financieros y materiales de la Institución.
2. Gestionar, ante las unidades responsables competentes de acuerdo a sus procesos,la
asignación de recursos para la ejecución de los programas de los portafolios deproyectos
y de servicios de TIC y del aprovisionamiento de infraestructura.
3. Coordinar, en el ámbito de competencia de la UTIC, el seguimiento del ejercicio de los
recursos presupuestarios de TIC, mediante las siguientes acciones:
 Participar en el control de los gastos efectuados con cargo al presupuestoasignado a la
UTIC para la ejecución de los proyectos y servicios de TIC y para el aprovisionamiento de
la infraestructura de TIC.
 Mantener actualizados los portafolios de proyectos y de servicios de TIC, así como verificar
que el costo de mantenimiento de los activos de TIC estéadecuadamente reflejado en los
presupuestos y programa de inversión.
4. Verificar con la unidad responsable competente, que los elementos que conforman las
iniciativas de los portafolios de proyectos y de servicios de TIC estén identificados de
acuerdo con la partida de gasto correspondiente.
5. Proveer de información a los Administradores de los portafolios de proyectos y deservicios
de TIC, sobre la existencia de recursos para realizar nuevas inversiones deTIC,
considerando su ciclo de vida.
6. Mantener actualizados y disponibles los registros del ejercicio del presupuesto de TIC,
incluyendo la programación de gastos comprometidos, montos y fechas de pago por
operación y mantenimiento de los activos.
7. Proveer a los responsables de la elaboración de los casos de negocio de iniciativas de
TIC, de la información sobre el presupuesto de TIC.
8. Comunicar a los grupos de trabajo encargados de la gobernabilidad en la
UTIC,información sobre el presupuesto de TIC, para la priorización del presupuesto y
lacoordinación de la aplicación del mismo.
 Presupuesto asignado para TIC en la Institución

Relación de
productos
 Anexo 9, formato 1, "Lista de conceptos de TIC etiquetados en el presupuesto de TIC"
 Disponibilidad presupuestal
 Anexo 9, formato 2, "Reportes del seguimiento del ejercicio del presupuesto"
APT-2 Participar en el establecimiento de prioridades del presupuesto de TIC
Descripción Participar en la definición de los proyectos, servicios e iniciativas de TIC que

se privilegiarán al asignar los recursos destinados a las TIC.
Factorescríticos El Responsable del seguimiento del presupuesto, con el apoyo del Responsable
delpresente proceso, deberá:
1. Identificar e informar sobre las posibles presiones de gasto en el presupuestoasignado.
2. Identificar todos los requerimientos de TIC incluidos en los portafolios de proyectos yde
servicios de TIC, que requieran de una asignación presupuestaria.
3. Establecer escenarios para el adecuado ejercicio del presupuesto asignado a las TIC,
indicando los gastos indispensables para garantizar la continuidad de la operación, los
riesgos operativos y los correspondientes a iniciativas derivadas de la planeación
estratégica, para revisión con los involucrados.
4. Documentar las reducciones presupuestarias y presiones de gasto que seaninformadas a
la UTIC por las unidades responsables en la materia para documentarposibles riesgos o
contingencias sobre lo planeado.
5. Proponer prioridades a los requerimientos de las iniciativas de TIC dentro de losportafolios
de proyectos y de servicios de TIC, apoyando la propuesta en los casos de negocio y en
la planeación estratégica de TIC.
6. Presentar al titular de la UTIC y al Grupo de trabajo para la dirección de TIC losescenarios
y propuestas elaborados en el numeral anterior, para la toma dedecisiones sobre el
ejercicio del presupuesto asignado a las TIC.
7. Comunicar a los involucrados la programación del presupuesto de TIC.
8. Gestionar las constancias de suficiencia presupuestaria para sustentar lasadquisiciones o
la contratación de servicios de TIC que sean requeridas por la UTIC,con apego a las
disposiciones jurídicas aplicables y a los procesos de la unidadresponsable competente.
Relación de  Anexo 9, formato 3, "Lista de iniciativas de inversión de TIC categorizada por losescenarios
productos y propuestas de priorización".
APT-3 Apoyar en la elaboración del anteproyecto anual de presupuesto en materia de TIC
Descripción Coadyuvar con la unidad responsable competente en la elaboración del

anteproyecto anual de presupuesto de la Institución, en lo relativo a TIC.
Factorescríticos El Responsable del seguimiento del presupuesto, con el apoyo del Responsable
delpresente proceso, deberá:
1. Estimar los recursos presupuestarios de TIC, de acuerdo con los requerimientos
demantenimiento de operación de la UTIC; de acuerdo con las disposiciones
jurídicasaplicables y lo previsto en los portafolios de proyectos y de servicios de TIC.
2. Estimar los recursos presupuestarios necesarios para el desarrollo de los proyectos e
iniciativas contemplados en los portafolios de proyectos y de servicios de TIC, deacuerdo
a los requerimientos estratégicos y objetivos institucionales en los que seinvolucre el uso
y aprovechamiento de TIC.
3. Elaborar, con base en las estimaciones a que se refieren los numerales anteriores,
lapropuesta de presupuesto previsto para TIC en el siguiente ejercicio fiscal ypresentarlo
al titular de la UTIC y por conducto de éste al Grupo de trabajo para ladirección de TIC,
así como a las unidades responsables del proceso de integración del anteproyecto de
presupuesto de la Institución.
Relación de  Anexo 9, formato 4, "Estimación del presupuesto de TIC"

productos
Rol Descripción
Grupo de  Toma decisiones con respecto a la priorización de los proyectos, servicio einiciativas de TIC,
trabajo para de acuerdo a los recursos previstos en el presupuesto de laInstitución y a los
la dirección requerimientos estratégicos y objetivos institucionales en losque se involucre el uso y
de TIC aprovechamiento de TIC.
 Responsable de analizar la estimación del presupuesto previsto para TIC delejercicio fiscal
correspondiente.
 Da seguimiento al presupuesto asignado a la UTIC.

Responsable
del
 Elabora las estimaciones de recursos de TIC para que sean consideradas en elanteproyecto
seguimiento
del de presupuesto de la Institución.
presupuesto
Responsable  Apoyar en el seguimiento del presupuesto asignado a TIC.
del proceso
de  Apoyar en la elaboración de las estimaciones de recursos de TIC requerirán en el siguiente
Administración ejercicio fiscal
del
presupuesto
de TIC
5.5.1.3 Indicadores
Frecuencia
de cálculo
Resultados del Conocer la Conocer la Eficiencia De % de eficiencia= Administrador del Semestral

proceso de eficiencia de la eficiencia del gestión (Presupuesto proceso
Administración gestión del proceso ejercido en
del presupuesto proceso mediante la tiempo y forma /
de TIC medición del Total del
presupuesto presupuesto
ejercido en asignado) * 100
tiempo y forma
1.1 Este proceso deberá ejecutarse con estricto apego a los procesos de las
unidadesresponsables competentes y a las disposiciones jurídicas que en materia
presupuestaria y deadquisiciones, arrendamientos y servicios resulten aplicables.
1.2 El Responsable del seguimiento del presupuesto, con el apoyo del Responsable del
presenteproceso, elaboran los análisis y estimaciones sobre el presupuesto requerido para
TIC, tomando en cuenta la información contenida en los portafolios de proyectos y de servicios
de TIC, así como en los programas de equipamiento de infraestructura establecidos mediante
lasactividades del proceso de Planeación estratégica.
1.3 Monitorear la efectividad de la administración del presupuesto de TIC, considerando

los recursos autorizados, el costo de los proyectos y de los servicios, así como el análisis de
la variación entre los costos y los presupuestos.
1.4 El programa de inversión de TIC se deberá actualizar de acuerdo con las

adecuacionespresupuestarias que, en su caso, se realicen al presupuesto autorizado para TIC,
en términosde las disposiciones jurídicas aplicables.
1.5 Se deberá comunicar el presupuesto de TIC a todos los responsables y administradores de

losprocesos del "Marco rector de procesos en materia de TIC".
1.6 Se deberá monitorear las fluctuaciones de los costos de TIC que resulten de interés para
laInstitución, a efecto de adoptar de manera oportuna las acciones que resulten pertinentes
paraeficientar el ejercicio de los recursos presupuestarios asignados a TIC.
1.7 El ejercicio del presupuesto para tecnologías especializadas, así como para
actividadesespecíficas no estandarizadas en la industria de cómputo y comunicaciones, deberá
sujetarse a las disposiciones jurídicas aplicables.
1.8 Sin perjuicio de lo establecido en este Manual, las Instituciones deberán observar
lasdisposiciones jurídicas aplicables en materia presupuestaria.


deEstablecimiento de modelo de gobernabilidad de TIC.
Se hace referencia en los anexos que se publican en el sitio: www.maagtic.gob.mx
5.5.2 Administración de proveedores de productos y servicios de TIC

General:
Establecer los mecanismos de comunicación necesarios para procurar y verificar el
adecuado cumplimiento de los compromisos contractuales con los proveedores en materia de TIC.
Específicos:
1. Establecer mecanismos para evitar retrasos en la ejecución de los compromisos contractuales enmateria
de TIC.
2. Establecer mecanismos de identificación de desviaciones, corrección y mejora del proveedor, enrelación
con los compromisos asumidos en los contratos.
APPS-1 Generar lista de verificación de acuerdos
Descripción Con base en el contrato celebrado, se elabora una lista de verificación sobre la cual
sedará seguimiento al desarrollo de los compromisos adquiridos.
Factorescríticos El Administrador de este proceso deberá:

1. Elaborar la lista de verificación para el seguimiento de los compromisos contractuales en
materia de TIC, que contenga al menos:
a. Los compromisos y obligaciones contractuales.
b. Las condiciones en las que se aplicarían penalizaciones a los proveedores.
c. Los entregables.
2. Identificar a los responsables de supervisar y administrar el contrato, así como a
losenlaces o responsables designados por parte del proveedor.
3. En los casos en que participen diversos proveedores en un contrato, será
necesarioidentificar qué requerimientos serán cubiertos por cada proveedor.
Relación de  Copia de contratos TIC

productos
 Anexo 10, formato 1, "Lista de verificación de compromisos contractuales"
APPS-2 Monitorear el avance y desempeño del proveedor
Descripción Verificar que los compromisos y actividades del proveedor se realicen como se
especificaen el contrato.
Factorescríticos El Responsable de este proceso, con apego a las disposiciones jurídicas aplicables y en
elámbito de atribuciones de la UTIC, deberá:
1. Establecer los mecanismos de comunicación con los proveedores.
2. Verificar que se cuenta con las cartas de confidencialidad necesarias.
3. Obtener de los Responsables de los proyectos y/o del Administrador del contrato,
losreportes de avance y desempeño del proveedor, de acuerdo a los
compromisoscontractuales y aquellos que deriven del desarrollo de las actividades objeto
delcontrato.
4. Obtener información sobre el rendimiento de los servicios y/o sistemas provistos por el
proveedor, con el fin de:
a) Evaluar el rendimiento real contra el rendimiento esperado.
b) Realizar el análisis causal para identificar las raíces de las desviaciones.
c) Identificar y registrar riesgos y problemas, así como establecer accionespreventivas y/o
correctivas, y darles seguimiento hasta su cierre.
5. Verificar, cuando corresponda, la aplicación de penalizaciones conforme a loestablecido
en el contrato.
6. Obtener una evaluación del desempeño integral del proveedor, mediante la aplicación de
encuestas a los involucrados.
Relación de  Anexo 10, formato 2, "Reporte de hallazgos"

productos
 Anexo 10, formato 3, "Reporte del avance del trabajo del proveedor"
 Anexo 10, formato 4, "Evaluación de desempeño del proveedor"
APPS-3 Revisión de cumplimiento al contrato TIC
Descripción Consiste en verificar que la totalidad de las actividades comprometidas por el proveedor
serealicen con apego a lo estipulado en los compromisos contractuales, con la finalidad
deidentificar riesgos y oportunidades, que permitan evitar incumplimientos.
Factorescríticos Esta actividad será desarrollada por el administrador del contrato de que se trate, con
elapoyo del Responsable del presente proceso, con apego a las disposiciones
jurídicasaplicables.
1. Establecer puntos de control para efectuar revisiones de cumplimiento de loscompromisos
contractuales.
2. Asegurarse de que los involucrados clave, intervengan en las revisiones, en lascuales se
deberá:
a) Utilizar la información del contrato como base para la revisión.
b) Analizar los posibles incumplimientos e identificar si aplican penalizaciones osanciones,
3. Preparar el informe de la revisión y comunicar su resultado a los responsables,
paraestablecer acciones correctivas o preventivas.
4. Para el cierre del contrato, el Responsable de esta actividad efectuar las
actividadessiguientes:
 Verificar que el servicio y/o soluciones tecnológicas se han entregado en la forma y términos
especificados en el contrato.
 Verificar que los defectos y/o desviaciones detectadas han sido resueltos.
 Verificar que no exista alguna penalización o sanción por aplicar.
 Confirmar que todos los accesos y/o cuentas proporcionados al proveedor hansido dados de
baja.
 Validar la liberación de la fianza o de las garantías correspondientes.
 Aprobar la carta de conclusión de los servicios y/o soluciones tecnológicas.
Relación de  Anexo 10, formato 5, "Informe de estado del contrato"
productos
 Anexo 10, formato 6, "Manifestación de conformidad para la liberación del pagoproveedor"
 Anexo 10, formato 7, "Carta de cierre de actividades de contrato"
 Anexo 10, formato 8, "Documento de notificación para liberación de fianza"



Rol Descripción
Administradordel Realiza el seguimiento a los compromisos asumidos en el contrato.
contrato
Involucrados Todos aquellos actores del proceso que desempeñan alguna actividad en el
desarrollo de los compromisos contractuales, incluyendo al proveedor contratado.
5.5.2.3 Indicadores:
Frecuencia
de cálculo
Cumplimiento Conocer la Medir el Eficacia De % de eficacia= UTIC Semestral
de los eficacia del porcentaje de gestión (Número de
compromisos proceso cumplimiento de entregables
del proveedor los cumplidos en
compromisos tiempo y con las
del Proveedor características
conforme al requeridas en el
contrato contrato/ Número
de Entregables
totales del contrato)
*100
Satisfacción de Tener una Medir la calidad Calidad De (Número de UTIC Semestral
los servicios y/o medición de la de los servicios gestión requerimientos
soluciones calidad del y/o soluciones cumplidos en los
tecnológicas servicio de los tecnológicas servicios / Total de
proporcionadas proveedores entregados requerimientos
por el establecidos en los
proveedor contratos de
servicios) X 100
1.1 Este proceso deberá ejecutarse con estricto apego a los procesos de las
unidadesresponsables competentes y a las disposiciones jurídicas que en materia
presupuestaria y deadquisiciones, arrendamientos y servicios resulten aplicables.
1.2 Ninguna prestación de servicio o recepción de bienes se podrá realizar sin el debido
contratoque lo avale.
5.5.3 Administración de Adquisiciones de TIC

General:
Establecer y ejecutar de acuerdo a los portafolios de servicios y proyectos, un programa de
adquisicionesde TIC de acuerdo a las asignaciones presupuestarias autorizadas por la unidad responsable
competente.
Específicos:
1. Elaborar el programa de adquisiciones de TIC, considerando las directrices de la Institución, así como lo
establecido en las disposiciones jurídicas que en materia presupuestaria y de
adquisiciones,arrendamientos y servicios resulten aplicables.
2. Verificar que los compromisos contractuales adquiridos por la Institución en materia de TIC, se lleven a
efecto con apego a las disposiciones jurídicas aplicables.
ADTI-1 Establecer acciones de coordinación para las adquisiciones de bienes y servicios de TIC
Descripción Realizar las acciones necesarias para aportar los insumos requeridos por las
unidadesresponsables competentes para la adquisición de bienes o la contratación de
servicios deTIC.
Factorescríticos Esta actividad será desarrollada por el Responsable del presente proceso, con el
apoyo del Responsable del seguimiento de las adquisiciones de TIC autorizadas,
quienes deberán:
1. Verificar con oportunidad, la disponibilidad de recursos presupuestarios para laadquisición
de bienes o la contratación de servicios de TIC.
2. Identificar los proyectos autorizados y demás requerimientos de TIC que requieran de la
contratación de terceros.
3. Apoyar en las acciones para la integración del anteproyecto de presupuesto enmateria de
TIC.
4. Confirmar que las necesidades a cubrir, para cada adquisición autorizada de TIC,
sedocumenten en un anexo técnico que incluya los requerimientos funcionales,
nofuncionales, técnicos, niveles de servicio, términos, condiciones de entrega yaceptación
de la solución tecnológica.
Este Anexo técnico deberá contar con el visto bueno de la unidad responsablesolicitante
así como del responsable del paquete de servicio.
5. Proponer la estrategia de contratación para los proyectos o iniciativas autorizada por el
Grupo de trabajo para la dirección de TIC, tomando en cuenta los procedimientos de
contratación previstos en la Ley de Adquisiciones, Arrendamientos y Servicios delSector
Público.
6. Reunir y documentar las bases técnicas en materia de TIC para la integración delestudio
de mercado que efectúe la unidad responsable competente. Para documentar las bases
técnicas citadas, deberá:
 Requerir a proveedores representativos del mercado, las solicitudes de información sobre
soluciones tecnológicas (RFI) y solicitudes de propuesta de soluciones técnicas (RFP).
 Analizar las propuestas y costos asociados para afinar los requerimientos yestimar el rango
presupuestal requerido.
 Establecer las capacidades requeridas de parte de los proveedores de los bienes y/o
servicios así como los requerimientos de procesos a ser utilizados.
7. Verificar que el usuario haya especificado los criterios de calidad, de aceptación y
losniveles de servicio esperados de la adquisición de TIC que se encuentre en vías
derealización.
8. Elaborar, en conjunto con la unidad responsable solicitante, la calendarización,
lostérminos y condiciones para la contratación del servicio y/o producto de TIC, conforme
al tipo del procedimiento que corresponda.
9. Efectuar las gestiones ante la unidad responsable de las contrataciones, para que
laadquisición de TIC se realice con apego a las disposiciones jurídicas aplicables.
Relación de  Anexo 11, formato 1, "Programa de adquisiciones de bienes y servicios de TIC"(autorizado)

productos
 Anexo 11, formato 2, "Solicitudes de información sobre soluciones tecnológicas(RFI)"
 Anexo 11, formato 3, "Solicitud de propuesta de soluciones técnicas (RFP)"
 Anexo 11, formato 4, "Propuesta de Estudio de mercado"
 Anexo 11, formato 5, "Propuesta de Anexo técnico"
 Anexo 11, formato 6, "Propuesta de Términos y condiciones".
ADTI- 2 Preparación de expedientes administrativos y ejecución del programa de
adquisiciones de TIC
Descripción Integrar los expedientes con la documentación necesaria, de acuerdo al Programa

deadquisiciones de bienes y servicios de TIC y al tipo del procedimiento de adquisición,
deconformidad con lo previsto en la normatividad aplicable en materia de
adquisiciones,arrendamientos y servicios del sector público, y efectuar el trámite
correspondiente.
Factorescríticos El Responsable del seguimiento de las adquisiciones de TIC autorizadas, con apego
a las disposiciones jurídicas aplicables, deberá:
1. Integrar los expedientes relativos a la contratación de TIC, con la
documentaciónnecesaria de acuerdo con el procedimiento respectivo y lo previsto en el
Programade adquisiciones de bienes y servicios de TIC.
2. Colaborar y, en su caso, tramitar las autorizaciones que correspondan a otras áreas de
la Institución interesadas en consolidar sus requerimientos de TIC.
3. El expediente de TIC deberá incorporar, además de lo señalado en el numeral 1,
losiguiente:
 Documentación general de los licitantes así como de los proveedores.
 Copia simple de los contratos en medio impreso o digitalizado.
 Cualquier otra documentación crítica y de lecciones aprendidas derivadas de los proyectos
ejecutados o programas de actividades efectuados por losproveedores.
4. La UTIC, en el ámbito de sus atribuciones, colaborará con la unidad responsable de las
contrataciones.
Relación de  Paquete para la adquisición autorizada

productos
ADTI - 3 Participación en procesos de adquisición de proveedores y su seguimiento
Descripción Dar seguimiento, en el ámbito de atribución de la UTIC, a los procesos de

contratación de TIC, y colaborar con las unidades responsables competentes.
Factorescríticos El Responsable del seguimiento de las adquisiciones de TIC autorizadas, con apego
a las disposiciones jurídicas aplicables, deberá:
1. Dar seguimiento al procedimiento de contratación de TIC.
2. Resolver las dudas técnicas de la unidad responsable de las contrataciones ocualquier
otra involucrada durante el dicho proceso.
3. Mantener informados a los responsables de los procesos y los proyectosinvolucrados en
la UTIC sobre los avances en el proceso de contratación.
Relación de  Anexo 11, formato 7, "Notificación de estado del proceso de contratación"
productos
 Contrato suscrito
 Anexo 11, formato 8, "Información del avance en el proceso de adquisiciones"
TIEMPO TOTAL DEL PROCESO: VARIABLE

Rol Descripción
 Establece las directrices necesarias para el seguimiento de las contrataciones efectuadas

Administrador
del proceso y apoya al Responsable del seguimiento de las adquisiciones de TIC autorizadas.
Responsable Efectúa las actividades indicadas en este proceso, con el fin de apoyar a launidad
del responsable de las contrataciones.
seguimiento de
las
adquisiciones
de TIC
autorizadas
Frecuencia
de cálculo
Resultados Obtener la Conocer el Eficacia De % de eficacia= Administrador del Anual

de la medición de la porcentaje de gestión (Número de proceso
colaboración eficacia del las gestiones gestiones de
en la gestión proceso basado realizadas adquisición
de en las gestiones conforme al efectuadas en
contratacione efectuadas proceso de tiempo y forma /
s de TIC adquisiciones Número de
de TIC gestiones de
adquisiciones de
TIC requeridas en
la Institución) X
100

1.1 Sin perjuicio a lo establecido en el presente Manual, todas las actividades desarrolladas para
laadquisición de TIC, incluyendo servicios asociados, estarán sujetas a las
disposiciones jurídicas aplicables en materia de adquisiciones, arrendamientos y servicios del
sector público.

5.6 ADMINISTRACION DE SERVICIOS
5.6.1 Administración del portafolio de servicios de TIC
General:
Definir los compromisos y costos de servicios de TIC necesarios para mantener el
adecuado funcionamiento de la Institución, así como identificar iniciativas de creación de servicios de
TIC susceptibles de aportar beneficios importantes en el cumplimiento de los objetivos estratégicos de
la Institución.
Específicos:
1. Contar con mecanismos para la toma de decisiones de carácter estratégico relacionadas con losservicios
de TIC.
2. Contar con un esquema de evaluación adecuado, comparable, transparente y repetible, que considere el
valor, los beneficios y los riesgos de los casos de negocio. de acuerdo a lo establecido en el proceso de
Administración del Portafolio de proyectos de TIC.
3. Proporcionar a los mandos medios y superiores información clara y precisa sobre los servicios de TIC.

APS- 1 Establecer un Portafolio de servicios de TIC
Descripción Crear y mantener un registro detallado de los servicios de TIC existentes, así como
deaquellas iniciativas de creación de nuevos servicios de TIC.
Factorescríticos
1. El Administrador del Portafolio de servicios de TIC deberá:
 Recabar información de las unidades responsables respecto a su visión a largoplazo,
relacionada con:
- Los objetivos previstos para cada entrega de servicio de TIC.
- Los servicios de TIC necesarios para alcanzar las metas de dichosobjetivos.
- Las capacidades y recursos estimados para implementar los servicios deTIC que
requieren para cumplir con los objetivos referidos.
- La ruta crítica para la entrega de los servicios de TIC.
 Recabar información actual con que cuenten las unidades responsables conrespecto a:
- Los servicios de TIC existentes y los propuestos, con el propósito deproveer información
única y consistente de los servicios de TIC.
 Integrar los datos recolectados al Repositorio del Portafolio de servicios de TIC.
 Elaborar, para cada servicio previsto en el Portafolio de servicios de TIC, sucorrespondiente
Caso de negocio:
 Acordar, con la participación de todos los involucrados, las definiciones de losservicios de
TIC.
 Incluir los servicios de TIC que proveen terceros al Portafolio de servicios de TIC.
Relación de  Anexo 12, Formato 1 "Caso de negocio de servicio de TIC"

productos
 Repositorio del Portafolio de servicios de TIC.
APS- 2 Crear y mantener las categorías del Portafolio de servicios de TIC
Descripción Determinar las categorías del Portafolio de servicios de TIC.

Factorescríticos El Administrador del Portafolio de servicios de TIC deberá:
1. Definir las categorías en las que se agruparán los servicios del Portafolio de serviciosde
TIC, con base en los objetivos de dichos servicios establecidos por las
unidadesresponsables.
2. Mantener actualizadas las categorías dentro del Portafolio de servicios de TIC, segúnlas
necesidades de la Institución.
3. Determinar para cada categoría las propiedades de los datos e información que
seráadministrada dentro del Portafolio de servicios de TIC.
Relación de  Categorías de servicios de TIC
productos
APS- 3 Analizar y priorizar el Portafolio de servicios de TIC
Descripción Realizar un análisis para determinar las prioridades de los servicios de TIC que
seencuentran en el Portafolio de servicios de TIC, con el propósito de
sustentar técnicamente las decisiones de inversión en iniciativas de servicios de TIC.
Factorescríticos El Grupo de trabajo para la dirección de TIC, deberá:
1. Valorar las inversiones de los servicios de TIC incluidos en el Portafolio de serviciosde
TIC, considerando las categorías siguientes:
 Mantenimiento del servicio.- Se centran en el costo del mantenimiento de lasoperaciones de
los servicios de TIC.
 Crecimiento del servicio.- Se encaminan a lograr un mayor alcance o cobertura de los
servicios de TIC.
 Transformación del servicio - Se orientan a la diversificación de los servicios de TIC.
2. Valorar, en términos de riesgo y desempeño, cada servicio de TIC.
3. Determinar la prioridad asignando un valor único a cada iniciativa o proyecto de TIC.
Relación de  Valoración de servicios de TIC

productos
 Repositorio del Portafolio de servicios de TIC
APS- 4 Establecer y mantener actualizado el catálogo de servicios de TIC
Descripción Alinear el Catálogo de servicios con el Portafolio de servicios de TIC, mediante

laidentificación, establecimiento y actualización de dichos servicios.
Factorescríticos El Administrador del Portafolio de servicios de TIC deberá:
1. Acordar con todos los involucrados la definición de cada servicio de TIC ydocumentarla en
el Catálogo de servicios de TIC.
2. Mantener comunicación con la Administración del Portafolio de servicios de TIC,respecto
del contenido y aplicación de cambios en el Portafolio y en el Catálogo.
3. Contar con un Catálogo de servicios y actualizarlo.
4. Establecer un vínculo entre las actividades relevantes de la Institución y laadministración,
para la continuidad de los servicios de los que dependen las unidades responsables.
5. Identificar la dependencia existente entre los grupos de soporte, los proveedores,
laadministración de la configuración y los elementos de configuración contenidos asícomo
sus elementos de negocio y técnicos.
6. Establecer comunicación continuamente con las unidades responsables y
laadministración de niveles de servicios para asegurar que la información está alineada.
Relación de  Catálogo de Servicios de TIC

productos
APS- 5 Aprobar el rendimiento del Portafolio de servicios de TIC
Descripción Analizar las propuestas de iniciativas de servicios de TIC para decidir sobre su
viabilidadcon base en el valor, beneficios, recursos y riesgos implícitos en cada una. Esta
actividadse realiza en forma coordinada con el proceso de Administración del Portafolio
deproyectos de TIC.
Factorescríticos El Grupo de trabajo para la dirección de TIC deberá:
1. Analizar la evolución del Portafolio de servicios de TIC y el logro de sus objetivos. Los
criterios de análisis deberán basarse en las necesidades y objetivos estratégicos de la
Institución.
2. Autorizar o cancelar las iniciativas y/o proyectos de servicios de TIC, tomando encuenta lo
establecido en las disposiciones jurídicas aplicables y considerando elpresupuesto
autorizado y lo previsto en el proceso de Administración del portafolio de proyectos de
TIC. Actualiza el Portafolio de servicios de TIC.
3. Instruir se efectúe la actualización correspondiente en el Portafolio de servicios de TIC,
mediante una Solicitud de cambios al Portafolio de servicios de TIC.
4. Registrar en la Bitácora de cambios, los resultados de decisiones sobre los serviciosde
TIC, en el Portafolio de servicios de TIC.
Los servicios de TIC se clasificarán en cinco categorías:
a) Conservación. Se refiere a los servicios y/o activos alineados con la estrategia de la
Institución.
b) Reemplazo. Se refiere a los servicios que no corresponden a objetivos de laInstitución.
c) Racionalización. Aplica cuando se constata que se ofrecen servicios mediantemúltiples
presentaciones de funciones similares.
d) Renovación. Aplica para el caso de que los servicios satisfagan los criterios deaptitud
funcional, pero pudieran requerir el reemplazo de algunos componentestécnicos.
e) Retiro. son aquellos servicios que no cumplen con los niveles mínimos técnicos y
funcionales.
Relación de  Anexo 12, Formato 2 "Solicitud de cambios al portafolio de servicios de TIC"

productos
 Anexo 12, Formato 3 "Bitácora de cambios al portafolio de servicios de TIC"
 Iniciativas de servicios de TIC
APS- 6 Evaluar el Portafolio de servicios de TIC
Descripción Identificar si las prioridades establecidas están alineadas con la estrategia y objetivos de
laInstitución y verificar que exista un equilibrio adecuado entre los servicios disponibles y
losque se desarrollan.
Factorescríticos El Grupo de trabajo para la Dirección deberá:

1. Definir, de acuerdo a las necesidades de la Institución, los criterios para la evaluación del
Portafolio de servicios de TIC y actualizarlos.
La evaluación deberá determinar los ajustes necesarios para la combinación deiniciativas
y/o proyectos de servicios de TIC, con servicios de TIC, a fin de optimizar al máximo el
Portafolio y reflejar el equilibrio deseado.
2. Establecer evaluaciones periódicas sobre el Portafolio de servicios de TIC con fines de
calidad.
Generar un reporte de resultados de la evaluación con la información obtenida en
estefactor crítico.
Relación de  Anexo 12, Formato 4 "Reporte de resultados de evaluación"

productos
APS- 7 Establecer informes y comunicar el rendimiento del Portafolio de servicios de TIC

Descripción Comunicar los resultados de la revisión efectuada al Portafolio de servicios de TIC,
paraconocer su rendimiento y mostrar que las TIC están proporcionando valor a la
Institución.
Factorescríticos El Administrador del Portafolio deberá:
1. Elaborar informes de rendimiento del Portafolio de servicios de TIC y comunicarlos.
Dichos informes deberán cumplir con los criterios del proceso de Administración
deevaluación de TIC.
Difundir los informes de rendimiento del Portafolio de servicios de TIC para mostrar el
resultado sobre el rendimiento del Portafolio de servicios de TIC.
Relación de  Anexo 12, Formato 5 "Informe del rendimiento del Portafolio de servicios de TIC"
productos


Rol Descripción
Grupo de  Determina las acciones de gobernabilidad de TIC con respecto de las iniciativas
trabajo para la y/oservicios que se encuentran en el Portafolio de servicios de TIC.
dirección de
TIC  Aprueba el rendimiento del Portafolio de servicios de TIC.
 Establecer un Portafolio de servicios de TIC.

Administrador
del portafolio
de servicios Crear y mantener las categorías aplicables a las iniciativas y/o servicios delPortafolio de
servicios de TIC.
 Es responsable de los servicios o grupo de servicios de TIC que se le asignen, durante
Administrador
del servicio o todo su ciclo de vida.
grupo de
servicios de
TIC
5.6.1.3 Indicadores
Frecuencia
de cálculo
Resultados del Obtener la Medir el Eficiencia De gestión % eficiencia= Administrador Anual
proceso de eficiencia del resultado del (número de del proceso de
Administración proceso en proceso de casos de Administración
del portafolio base a los Administración negocio del portafolio de
de servicios de casos de del portafolio desarrollados / servicios de TIC
TIC negocio de servicios de número de
desarrollados TIC solicitudes de
desarrollo de
iniciativas de
servicio) X 100
1.1 La UTIC asignará un Responsable de la Administración del Portafolio de servicios de TIC.
1.2 Cualquier cambio al Portafolio de servicios de TIC deberá ser aprobado por el Grupo
de trabajo para la dirección de TIC y se llevará a cabo de acuerdo con el
proceso de Administración de cambios.
1.3 Serán extensivas a este proceso las disposiciones de seguridad de la

información establecidas por medio del SGSI.
1.4 La evaluación de este proceso se realizará de acuerdo a lo establecido en el proceso

Los anexos señalados en este proceso serán publicados en la dirección siguiente: www.maagtic.gob.mx
5.6.2 Diseño de servicios de TIC

General:
Contar con mecanismos que permitan diseñar los servicios de TIC que la Institución requiere, con
la finalidad de que se consideren de manera integral y desde su diseño, aspectos relevantes sobre
su capacidad, disponibilidad y continuidad y con un enfoque de Portafolio de servicios de TIC.
Específicos:
1. Diseñar servicios que contemplen los niveles necesarios de seguridad, continuidad, disponibilidad
ycapacidad de TIC para la Institución.
2. Definir especificaciones en los diseños de servicios de TIC que permitan construirlos y desplegarlos en
función de las necesidades de la Institución.
3. Identificar y administrar riesgos desde el diseño de los servicios de TIC para que puedan ser eliminados,
transferidos y/o mitigados.
4. Diseñar la arquitectura de los servicios de TIC, para satisfacer las necesidades actuales y futuras de la
Institución.
5. Comunicar de manera transparente las definiciones y estado de los servicios de TIC que se
hubierandiseñado.
DSTI-1 Diseñar soluciones de servicio de TIC
Descripción Elaborar la planeación y especificaciones para el diseño de servicios nuevos o

mejoradosde TIC que cumplan con las necesidades o requerimientos de la Institución.
Factorescríticos El Administrador de Portafolio de servicios asignará al Responsable del diseño del
serviciode TIC.
El Responsable del diseño del servicio deberá:
1. Acordar los requerimientos del servicio de TIC.
2. Realizar un análisis de los requerimientos asociados al servicio, procurando que
losmismos sean documentados y acordados formalmente por los diferentes involucrados.
Estos requerimientos serán la base para todas las actividades de diseño posteriores y
deberán encontrarse bajo control formal de cambios.
 Para servicios ya existentes se incluyen, entre otros, los requerimientos de:
Funcionalidad o infraestructura.
Cambios en los procesos de la Institución, prioridades, importancia e impacto.
Cambios en los volúmenes de transacciones del servicio.
Cambios en los niveles de servicio y sus metas asociadas.
 Para servicios nuevos se incluyen, entre otros, los requerimientos de:
Funcionalidad y de infraestructura.
Administración del servicio.
Procesos de la Institución que sustentan prioridades, importancia e impacto.
Niveles de servicio y sus metas.
Niveles de transacciones, número de usuarios de acuerdo a su tipo ycrecimiento previsto.
Caso de negocio, incluyendo aspectos financieros y de estrategia.
Estimaciones sobre la frecuencia de cambios.
Niveles de capacidad o de soporte a requerir (por ejemplo soporte local).
3. Analizar la madurez, capacidades y estado de la infraestructura, componentes yservicios
de TIC existentes, con una perspectiva de reutilización, siempre que ésta sea posible.
4. Elaborar las especificaciones técnicas de las soluciones de servicios, considerandotodos
los aspectos inherentes al servicio, incluyendo:
 Los procesos que sustentan o sustentarán los servicios internos y externos y elimpacto y
beneficios esperados.
 Instalaciones, funcionalidad e información para monitoreo.
 El ciclo de vida de los servicios incluyendo demanda planeada.
 Los requerimientos y metas de niveles de servicio, esperadas y comprometidas.
 Las escalas o límites de tiempo establecidos, interna o externamente.
 Los requerimientos para realizar las pruebas del servicio, sobre todo las deaceptación del
usuario.
 Los OLA acordados dentro de la UTIC.
 Las contrataciones de servicios similares realizadas con anterioridad.
 El nivel de escalabilidad del servicio para satisfacer las necesidades futuras de la Institución.
5. Documentar los criterios de aceptación del servicio de TIC.
6. Evaluar diversas opciones de solución en cuanto a tiempo, costo, beneficio a laInstitución
y al ciudadano y grado de cumplimiento a los requerimientos del servicio de TIC, para
seleccionar la alternativa de solución más apropiada.
6. Evaluar diversas opciones de solución en cuanto a tiempo, costo, beneficio a laInstitución y
al ciudadano y grado de cumplimiento a los requerimientos del servicio de TIC, para
seleccionar la alternativa de solución más apropiada.
7. Analizar, re-evaluar y, de ser necesario, acordar la solicitud de cambios con respectoal
presupuesto estimado de acuerdo con lo previsto en el proceso de Administracióndel
Portafolio de servicios de TIC para la iniciativa correspondiente al servicio de TICque se
está diseñando.
8. Validar que la solución seleccionada se encuentra alineada a las estrategias de TIC, al
Programa de tecnología, a los principios y las directrices de la arquitectura tecnológica.
9. Asegurar que la solución seleccionada cumple con todos los controles de gobierno yde
seguridad que le apliquen, de acuerdo a su categoría.
10. Realizar una evaluación para asegurar que la solución seleccionada para el servicio de TIC
pueda ser operada de manera que cumpla con las metas de los niveles de servicio de
requeridas. Esta evaluación deberá incluir:
 Un análisis del impacto, beneficios y contribución de la solución, así como de los costos
estimados durante el ciclo de vida del servicio de TIC, incluyendo loscostos relativos al
diseño, desarrollo, continuidad de la operación y soporte delservicio.
 Evaluación y mitigación de los riesgos asociados a un servicio de TIC nuevo omodificado,
particularmente con respecto a su operación, seguridad,disponibilidad y continuidad.
 La capacidad y madurez de la Institución con respecto al servicio de TIC enproceso de
diseño. La evaluación de este aspecto debe ser realizada por lasunidades responsables
solicitantes, con respecto a la existencia de procesos,estructura, personal, roles,
responsabilidades e instalaciones apropiadas paraoperar el servicio de TIC.
 La capacidad y madurez de la infraestructura de TIC. La evaluación de esteaspecto
considera:
La evaluación del impacto del servicio de TIC, en todas las áreas de TIC,incluyendo los
recursos necesarios.
Los procesos, roles y responsabilidades propios de la UTIC.
Las habilidades, conocimiento y competencia del personal.
Las herramientas de soporte y gestión necesarias para el servicio.
11. Definir las métricas y métodos de medición requeridos para validar el cumplimiento de los
acuerdos de niveles de servicio de TIC.
12. Integrar en el Paquete de diseño de servicio de TIC toda la información resultante
deldiseño, la que servirá de insumo a los grupos de procesos de Transición y entrega, yde
Operación de servicios.
13. Incorporar y actualizar en el Repositorio del Portafolio de servicios de TIC, los datos e
información producto del diseño del servicio de TIC, incluyendo el Paquete de diseño de
servicio de TIC.
Relación  Anexo 13, Formato 1 Paquete de diseño del servicio de TIC

deproductos
 Repositorio del Portafolio de servicios de TIC
DSTI-2 Diseñar la arquitectura tecnológica de los servicios de TIC.
Descripción Proveer los modelos arquitectónicos para el desarrollo y despliegue de la

infraestructura de TIC, necesaria para la operación de un servicio o un grupo de servicios
en la materia, que satisfaga las necesidades actuales y futuras del servicio y se encuentre
alineada a lasdirectrices de la arquitectura tecnológica de la Institución y a su Programa
de tecnología.
Factorescríticos El Arquitecto de TIC, conjuntamente con el Responsable del diseño del servicio de
TIC,deberá:
1. Adoptar una metodología que incorpore mejores prácticas probadas, para el desarrollo de
modelos de arquitectura de servicios de TIC que permita estandarización, soporte y
consistencia en el establecimiento y evolución de la infraestructura de TIC, necesaria para
sustentar el diseño y la provisión de un servicio de TIC.
2. Diseñar, usando la metodología establecida, los modelos de arquitectura
tecnológicanecesarios para sustentar el diseño y la operación de una solución, para un
serviciode TIC nuevo o modificado.
3. Constatar que las infraestructuras de TIC, ambientes, datos, aplicaciones y
serviciosexternos involucrados en el modelo de arquitectura de un servicio de TIC se
alineen a las directrices de la arquitectura tecnológica y a los principios de los
dominiostecnológicos.
4. Considerar que los requerimientos tecnológicos para los servicios de TIC se incorporen en
la elaboración del Programa de tecnología previsto en el proceso Determinación de la
dirección tecnológica.
5. Asegurar el apego a marcos de referencia arquitectónicos, estrategias,procedimientos y
estándares adoptados por la Institución.
Relación de  Anexo 13, Formato 2 "Diseño de la arquitectura de servicios de TIC"

productos
DSTI-3 Administrar la capacidad de los recursos de TIC
Descripción Revisar periódicamente el rendimiento y la capacidad de los recursos de TIC,

para asegurar que cumplen con los niveles de servicio acordados. Este proceso incluye
la previsión de necesidades futuras, basadas en los requerimientos de cargas de
trabajo, almacenamiento y contingencias.
Factorescríticos El Responsable del diseño de servicios de TIC, conjuntamente con el Responsable
deldiseño de un servicio deberá de:
1. Desarrollar un Programa de capacidad que permita a la UTIC cumplir con los niveles de
servicio acordados, con el crecimiento previsto de la demanda, la mejora de los niveles de
servicio y los nuevos servicios incluidos en el Portafolio de servicios de TIC.
En la elaboración del Programa de capacidad de recursos de TIC se debe considerar:
 Información suficiente para habilitar la toma de decisiones con respecto a:
Los activos y/o recursos que requieren ser mejorados.
El momento en que requiere la mejora.
Los costos de la mejora.
Los Programas de capacidad de recursos de TIC se usan para la estimación
delpresupuesto de las inversiones de TIC.
 El balance entre la oferta y la demanda, necesario para asegurar la suficiencia de recursos
para responder a las necesidades de la Institución frente a lascondiciones de mercado.
 La participación de los responsables y expertos de los dominios tecnológicos en la
elaboración del Programa de capacidad de recursos de TIC.
2. Revisar, periódicamente, la capacidad y rendimiento de los recursos de TIC,
paradeterminar si existe suficiente capacidad para prestar los servicios respetando
losniveles de servicio acordados.
 Incluye el monitoreo del desempeño actual y capacidad usada, sustentada de ser necesario,
por soluciones automatizadas.
 Identificar y dar seguimiento a incidentes causados por problemas de falta decapacidad.
 Evaluar los niveles de capacidad a nivel demanda, servicio y componentes contra los
niveles de servicio acordados y tendencias.
3. Llevar a cabo, periódicamente, un pronóstico de desempeño y capacidad de losrecursos
de TIC, para minimizar el riesgo de interrupciones del servicio de TICoriginadas por falta
de capacidad o degradación del desempeño.
4. Identificar las disponibilidades de capacidad para una posible redistribución.
5. Identificar las tendencias de las cargas de trabajo y determinar sus proyecciones, a fin de
considerarlas en los programas de capacidad de recursos de TIC.
6. Asegurar la capacidad y desempeño requeridos, tomando en cuenta aspectos
como:cargas de trabajo normales, contingencias, requerimientos de almacenamiento
y ciclos de vida de los recursos de TIC.
7. Considerar las acciones a implementar cuando el desempeño y la capacidad no están en
el nivel requerido, tales como: ajustar la prioridad de las tareas, instaurarmecanismos de
tolerancia de fallas y de prácticas de asignación de recursos.
8. Proponer al Titular de la UTIC que los programas de contingencia incluyan de
formaapropiada las condiciones de la capacidad y el desempeño de los
recursosindividuales de TIC.
9. Monitorear continuamente el desempeño y la capacidad de los recursos de TIC, con el
propósito de:
 Mantener y afinar el desempeño, atender la flexibilidad, contingencias, cargas de trabajo
actuales y proyectadas, proyecciones de almacenamiento, entre otras.
 Reportar los niveles de servicio.
 Acompañar los reportes de excepción con recomendaciones de acciones
 Acompañar los reportes de excepción con recomendaciones de accionescorrectivas.
Relación  Anexo 13, Formato 3 "Programa de capacidad de los recursos de TIC"

deproductos
DSTI-4 Administrar la disponibilidad de servicios de TIC
Descripción Revisar periódicamente la disponibilidad de los servicios de TIC, con el propósito

deasegurar los requerimientos actuales y futuros de la entrega de dichos
servicios,establecidos en los niveles de servicio acordados. Este proceso incluye la
previsión denecesidades futuras, basadas en los requerimientos actuales y pronósticos
futuros.
Factorescríticos El Responsable del diseño de servicios de TIC, conjuntamente con el Arquitecto
de TIC,debe:
1. Desarrollar un Programa de disponibilidad que permita a la UTIC cumplir con los niveles
de servicio acordados, con base en la capacidad actual, la mejora de los niveles de
servicio y los nuevos servicios incluidos en el Portafolio de servicios de TIC.
En la elaboración del Programa de disponibilidad se deberá considerar:
 Información suficiente para habilitar la toma de decisiones con respecto a:
La disponibilidad de servicios de TIC y los requerimientos actuales y previstos, así como la
disponibilidad de los activos que los soportan, incluyendo los proporcionados por terceros.
El momento en que requiere adecuar la disponibilidad.
Los costos estimados de la disponibilidad.
 El balance entre la oferta y la demanda, necesario para asegurar la suficiencia de recursos
para responder a las necesidades de la Institución frente a lascondiciones de mercado.
 La participación en la elaboración del Programa de disponibilidad, de los servidores públicos
responsables y/o especializados en dominios tecnológicos.
2. Revisar, periódicamente, la disponibilidad de los servicios de TIC, para determinar si se
están respetando los niveles de servicio acordados.
 Incluye el monitoreo de la disponibilidad actual soportada.
 Identificar y dar seguimiento a incidentes causados por problemas de falta dedisponibilidad y
promover que se lleven a cabo las acciones de solución.
 Evaluar los niveles de disponibilidad de los servicios de TIC y componentes contra los
niveles de servicio de TIC acordados y tendencias.
3. Llevar a cabo periódicamente pronósticos de capacidad, para los servicios de
TIC,actuales y futuros, para minimizar el riesgo de interrupciones del servicio
originadaspor falta de disponibilidad. Identificar la disponibilidad de capacidad para una
posibleredistribución. Identificar las tendencias de las cargas de trabajo y determinar
susproyecciones que se deben considerar en los planes de disponibilidad.
4. Proponer al Titular de la UTIC que los programas de contingencia incluyan de
formaapropiada las condiciones de disponibilidad, capacidad y desempeño de los
recursosindividuales de TIC.
5. Efectuar el análisis y la gestión de riesgos y promover medidas de mejora,considerando
los costos estimados.
6. Monitorear continuamente la disponibilidad de servicios de TIC, con el propósito de:
 Mantener y afinar el uso de disponibilidad
 Reportar los niveles de servicio.
 Acompañar todos los reportes de excepción con recomendaciones de accionescorrectivas.
Relación de  Anexo 13, Formato 4 "Programa de disponibilidad de servicios de TIC"

productos
DSTI-5 Administrar la continuidad de servicios de TIC

Descripción Procurar el mínimo impacto a la Institución, en caso de una interrupción en los servicios
deTIC, mediante el desarrollo, mantenimiento, entrenamiento y pruebas de los
programas de contingencia en materia de TIC.
Factorescríticos El Responsable del diseño de servicios de TIC, conjuntamente con el arquitecto de

TIC,realizarán lo siguiente:
1. Efectuar el análisis de impacto al negocio.
2. Desarrollar y establecer un sistema de continuidad de servicios que incluya directrices,
procedimientos, roles y responsabilidades necesarios para soportar la continuidad de los
servicios de TIC en la Institución.
Lo anterior, tiene como propósito ayudar en la determinación de la resistencia requerida de
la infraestructura y guiar el desarrollo de los programas de recuperación de desastres y
contingencias de TIC.
Dichas directrices, tomarán en cuenta lo siguiente:
 La estructura organizacional de la UTIC.
 La cobertura de roles y las responsabilidades de los proveedores de servicios,internos y
externos, así como la administración de los usuarios.
 Las reglas y estructuras para documentar, probar y ejecutar la recuperación dedesastres y
los planes de contingencia de TIC.
 Los resultados del análisis de impacto al negocio y la estrategia de recuperación que se
determine en el proceso de Administración de riesgos de TIC.
 Los requerimientos de resistencia, procesamiento alternativo y capacidad derecuperación de
todos los servicios críticos de TIC.
 La identificación de recursos críticos, el monitoreo y reporte de la disponibilidad de recursos
críticos, el procesamiento alternativo y los principios de respaldo yrecuperación.
3. Desarrollar el Programa de continuidad de servicios de TIC, tomando en cuenta
lainformación mencionada en el numeral anterior, el cual estará diseñado para reducir el
impacto de una interrupción mayor de las funciones y los procesos clave de laInstitución.
4. Atender los puntos críticos previstos en el Programa de continuidad de TIC, para:
 Construir resistencia y establecer prioridades en situaciones de recuperación.
 Evitar la distracción de recuperar los puntos menos críticos y asegurarse de que la
respuesta y la recuperación están alineadas con las necesidades prioritarias de la
Institución.
 Cuidar que los costos se mantengan a un nivel aceptable y que se cumpla con los
requerimientos regulatorios que resulten aplicables, así como con loscompromisos
pactados en los contratos correspondientes.
 Considerar los requerimientos de resistencia, respuesta y recuperación paradiferentes
niveles de prioridad.
5. Revisar el Programa de continuidad de servicios de TIC, mediante un procedimiento de
control de cambios, para asegurar que el mismo se mantenga actualizado y refleje los
requerimientos de la Institución. Es esencial que los cambios que se realicen alPrograma
sean comunicados de forma clara y oportuna a todos los involucrados.
6. Efectuar pruebas de recuperación, de forma periódica, al Programa de continuidad de
servicios de TIC, para confirmar que los servicios de TIC puedan ser recuperados de
forma efectiva, que las deficiencias sean atendidas y que el mismo permaneceaplicable.
7. Definir el alcance de las pruebas de recuperación en aplicaciones individuales,
enescenarios de pruebas controlados, en pruebas de punta a punta y en
pruebasintegradas con el proveedor.
8. Procurar que los involucrados reciban periódicamente capacitación respecto delcontenido
del Programa de continuidad de TIC y verificar sus resultados.
9. Procurar que el Programa de continuidad de servicios de TIC se distribuya de manera
apropiada y segura, y que esté disponible para los involucrados cuando lo requieran,
cuidando su accesibilidad bajo cualquier escenario de desastre.
9. Procurar que el Programa de continuidad de servicios de TIC se distribuya de manera
apropiada y segura, y que esté disponible para los involucrados cuando lo requieran,
cuidando su accesibilidad bajo cualquier escenario de desastre.
10. Planear las acciones a implementar durante el periodo de recuperación y reanudación de
11. Promover el resguardo fuera de las instalaciones de la Institución de todos los medios de
respaldo, documentación y otros recursos de TIC críticos, necesarios para la recuperación
de los servicios de TIC y para los Programas de continuidad de laInstitución.
12. El contenido de los respaldos a almacenar se determinará entre el Grupo de trabajopara la
dirección de TIC, los responsables de los procesos sustantivos de la Institución y el
personal de TIC.
13. La administración del sitio de almacenamiento externo deberá apegarse al SGSI de la
UTIC, así como a la normatividad aplicable.
14. El titular de la UTIC deberá supervisar periódicamente que los compromisos asumidos por
los proveedores de sitios externos se cumplan, verificando el contenido de los respaldos,
la protección ambiental y la seguridad física.
15. El titular de la UTIC se deberá asegurar de la compatibilidad del hardware y delsoftware de
recuperación, para poder restablecer los datos respaldados yperiódicamente probar y
renovar dichos datos.
16. Poner en marcha, cuando sea necesario, el Programa de continuidad de servicios deTIC y,
una vez lograda la reanudación de los servicios de TIC, evaluar las accionesejecutadas
contra las programadas.
17. Actualizar el Programa de continuidad con los hallazgos y lecciones aprendidas.
Relación  Anexo 13, Formato 5 "Análisis de impacto al negocio"

deproductos
 Anexo 13, Formato 6 "Programa de continuidad de servicios de TIC"



Rol Descripción
Responsable del Diseñar las soluciones de servicio de TIC
diseño de Administrar la capacidad, disponibilidad y continuidad de los servicios de TIC
servicios de TIC
Arquitecto de Diseñar la arquitectura tecnológica de los servicios de TIC y administrar la
TIC continuidadde los servicios de TIC, conjuntamente con el Responsable de diseños de
servicios de TI
Responsable del Diseñar soluciones de servicios de TIC
diseño del
servicio de TIC
Frecuencia
de cálculo
Satisfacción Obtener la Medir la Calidad De gestión Indice= (Número Responsable Anual

en los satisfacción de la calidad de los de requerimientos del diseño de
paquetes de ejecución del servicios y/o cumplidos en los servicios de TIC
diseño proceso, soluciones servicios / Total
elaborados mediante la tecnológicas de requerimientos
medición de entregados establecidos en
requerimientos las solicitudes de
cumplidos en los diseño de
diseños servicios) X 100
Resultados Obtener una Medir el Eficiencia De gestión % de eficiencia= Responsable Semestral

del proceso medición de la resultado del (Número de del diseño de
de diseño eficiencia del proceso de paquetes de servicios de
de servicios proceso, para diseño de diseño de TIC
de TIC este caso servicios de servicios de TIC
basada en el TIC elaborados y
número de aprobados/
paquetes de número de
diseño paquetes de
elaborados diseño de servicio
de TIC
solicitados) X 100
1.1 El Responsable del proceso de diseño de servicios de TIC desarrollará solamente el diseño
de los servicios aprobados por el Responsable del Portafolio de servicios de TIC, tanto en
caso denuevos servicios como de modificaciones a servicios existentes.


1.5 Informar a los titulares de las unidades responsables los tiempos de recuperación de
losservicios críticos de TIC y las inversiones necesarias en materia de TIC, para sustentar
larecuperación y reanudación de los servicios de TIC.
5.7 ADMINISTRACION DEL DESARROLLO DE SOLUCIONES
5.7.1 Definición de requerimientos de soluciones
General:
Definir los requerimientos para el desarrollo de soluciones mediante acciones coordinadas con
las unidades responsables solicitantes, los Responsables de la implantación de la solución y las
unidades responsables de las contrataciones.
Específicos:
1. Definir las características técnicas de la solución tecnológica o servicio que va a ser desarrollado
oadquirido, verificando que cubran las necesidades, expectativas y restricciones identificadas.
2. Evaluar técnicamente las soluciones tecnológicas o servicios propuestos por los diversosproveedores, con
el propósito de identificar la mejor propuesta de acuerdo a las necesidades de laInstitución.
3. Evaluar las soluciones tecnológicas o servicios entregados por el proveedor al final del ciclo de vida de un
proyecto de desarrollo para asegurar el cumplimiento de los requerimientos y aprobarlos.
4. Participar en el proceso de adquisición de soluciones tecnológicas, de acuerdo a las disposicionesjurídicas
aplicables, así como supervisar el desarrollo y entrega de la solución tecnológica.

DRS-1 Definir los requerimientos técnicos de la solución solicitada
Descripción Identificar las necesidades y la información relacionada para definir los requerimientos
de la solución, su alcance y las características que servirán para integrar los anexos
técnicosnecesarios para su contratación, en términos de las disposiciones jurídicas
aplicables enmateria de adquisiciones.
Factorescríticos El Analista de requerimientos técnicos de soluciones de TIC deberá:
1. Identificar las necesidades de TIC de las unidades responsables, así como
susrequerimientos para la adquisición de las mismas, considerando entre otros:
 Requerimientos funcionales.
 Sistemas o procesos que son insumo de datos.
 Sistemas o procesos de los que es proveedor de datos.
 Volumen de datos.
 Concurrencia de usuarios.
 Perfiles y privilegios de usuarios.
 Procesos que se automatizan.
 Procesos que soportan.
 Regulaciones, estándares o normas que aplican al proceso que automatiza.
 Proyecciones de crecimiento:
Funcionalidad.
Datos.
Concurrencia de Usuarios/transacciones.
 Restricciones.
 Factores críticos de éxito/riesgos.
2. Priorizar los requerimientos identificados para el desarrollo o la adquisición de lasolución
de TIC de las unidades responsables conforme a la solución tecnológica y/oservicios o, en
caso de ser requerido, un ajuste de alcance por factores (tiempo deentrega y costo).
3. Elaborar la propuesta de Documento de requerimientos de la solución solicitada.
Definir criterios generales y específicos de aceptación de una solución, para determinar
cuando se considerará cubierta la funcionalidad a partir de:
 Los métodos a través de los cuales se corroborarán las entregas de la solucióntecnológica
y/o servicios de TIC, y
 El cumplimiento de los requerimientos técnicos y los términos y condicionesespecificados.
Obtener, de la unidad responsable solicitante de la solución, la aprobación delDocumento
de requerimientos de la solución solicitada.
4. Analizar y validar, desde el punto de vista técnico, los requerimientos para laadquisición
de TIC, con el fin de corroborar que son los necesarios y suficientes paracubrir las
necesidades identificadas.
 Analizar soluciones de software de código abierto al igual que solucionescomerciales.
 Verificar que los requerimientos definidos cubren todos los escenariosoperacionales
indispensables, así como que estén definidos y documentados los métodos de operación
de la solución y/o servicio de TIC.
 Identificar y analizar los posibles riesgos en los requerimientos definidos, así como las
estrategias de mitigación y/o contingencia de los mismos.
5. Desarrollar los componentes del anexo técnico para la propuesta del mismo, entérminos
de las disposiciones jurídicas aplicables en materia de adquisiciones,arrendamientos y
servicios.
6. Desarrollar los elementos técnicos a incluir en la propuesta del estudio de mercado que en
materia de TIC se requiera, en términos de las disposiciones jurídicas aplicables en
materia de adquisiciones, arrendamientos y servicios.
Relación  Anexo 14, formato 1, "Documento de requerimientos de la solución solicitada"
deproductos
 Anexo 14, formato 2, "Propuesta de Anexo técnico"
 Anexo 14, formato 3, "Propuesta de Términos y condiciones"
 Anexo 14, formato 4, "Propuesta de Estudio de mercado"
DRS-2 Participación y seguimiento en el proceso de adquisición de la solución
Descripción Colaborar técnicamente en el seguimiento del proceso de adquisiciones de TIC,

con apego a las disposiciones jurídicas de la materia y a las atribuciones de la UTIC.
Factorescríticos El Líder técnico de requerimientos para la solución deberá:

1. Validar técnicamente, cuando corresponda, las bases de licitación para la adquisiciónde
TIC, en términos de las disposiciones jurídicas aplicables en materia deadquisiciones,
arrendamientos y servicios.
La validación se realizará verificando la consistencia entre los requerimientos de lasolución
tecnológica y/o servicio de TIC y el contenido de las bases.
Relación de  Anexo 14, formato 1, "Documento de requerimientos de la solución solicitada"
productos
DRS-3 Monitorear las actividades técnicas del proveedor
Descripción Dar seguimiento al avance en las tareas para la entrega de la solución

tecnológicacontratada y verificar el cumplimiento de los compromisos contractuales.
Factorescríticos El Líder técnico de requerimientos para la solución, conjuntamente con el Responsable
deaseguramiento de la calidad, deberán:
1. Revisar con el proveedor sus avances respecto de:
 El cumplimiento de los términos y condiciones establecidos para el desarrollo de la solución
tecnológica.
 Los problemas y riesgos detectados en la construcción de la solución tecnológica
contratada.
 Mantener un registro del estatus, acciones preventivas/correctivas
tomadas,responsabilidades y resultados obtenidos.
 Seleccionar una muestra del desarrollo de la solución tecnológica que lleva a cabo el
proveedor contratado y monitorear su ejecución.
Relación de  Anexo 14, formato 5, "Resultado de las revisiones de avances"
productos
 Anexo 14, formato 6, "Reporte de revisiones de procesos"
 Anexo 14, formato 7, "Matriz de rastreo y trazabilidad del contrato"
DRS-4 Aceptar la solución tecnológica
Descripción Asegurarse que la solución adquirida cumple técnicamente con los requerimientos
yacuerdos establecidos en el contrato.
Factorescríticos El Líder técnico de requerimientos para la solución, con el apoyo del Responsable
delproceso de Administración de proveedores de productos y servicios de TIC y de la
unidadresponsable solicitante deberá:
1. Validar la solución en términos de los requerimientos funcionales y no funcionales.
 Revisar la solución tecnológica entregada contra los términos y condicionesestablecidos en
el contrato.
 Comunicar los resultados de las actividades a los involucrados.
2. Elaborar la Carta de aceptación de la solución tecnológica.
 La Carta de aceptación de la solución tecnológica deberá ser presentada alproveedor y a la
unidad responsable para efectuar el pago correspondiente.
3. Notificar a los Responsables del grupo de procesos de Transición y entrega acerca de la
aceptación de la solución para que dé inicio la Transición de ésta a la operación.
Relación de  Anexo 14, formato 8, "Carta de aceptación de la solución tecnológica"

productos
Rol Descripción
Analista de  Encargado de obtener la información de los requerimientos y plasmarla en elDocumento
requerimientos de requerimientos de la solución solicitada.
técnicos de
soluciones de
TIC
Líder técnico Participar en el proceso de adquisición de TIC; monitorear y supervisar lasactividades
de técnicas del proveedor para constatar que el desarrollo de lasolución tecnológica, de
requerimientos acuerdo a lo establecido en el contrato.
para la
solución
Responsable Monitorear las actividades técnicas del proveedor.
de
aseguramiento
de calidad
Unidades  Proveer de los requerimientos para la adquisición de TIC, dar seguimiento de la solución
responsables tecnológica y aceptar la solución tecnológica a su conclusión.
solicitantes
5.7.1.3 Indicadores
Frecuencia
de cálculo
Cumplimiento Obtener una Medir el Eficacia De % de eficacia= Líder técnico de Semestral

de medición de la cumplimiento gestión (Número de requerimientos
requerimientos eficacia del del proveedor requerimientos para la solución
proceso, en con respecto los contractuales
este caso en compromisos cumplidos en
base a los contractuales tiempo y forma /
requerimientos establecidos (Número de
contractuales requerimientos
cumplidos en contractuales) X
tiempo y forma 100
1.1 Todas las actividades de este proceso deberán realizarse con apego a la Ley
de Adquisiciones, Arrendamientos y Servicios del Sector Público, su Reglamento y
demás disposiciones aplicables.
1.2 Las Instituciones en relación a la adquisición, desarrollo e intercambio de software, sistemas

yaplicativos, considerarán por igual, las soluciones comerciales, propietarias, libres o
desoftware de código abierto, debiendo tomar en cuenta para su evaluación las mejores
prácticasy el valor que ofrezcan a la Institución, en ahorros, mitigación de riesgos, o mejoras
del servicioal usuario.
1.3 Los nuevos desarrollos de software, sistemas o aplicativos, que efectúe la UTIC deberán
serinscritos en el Instituto Nacional del Derecho de Autor en términos de lo dispuesto en la Ley
deDerechos de Autor.
1.4 La selección y el desarrollo de software, sistemas y/o aplicativos se efectuará considerando

laarquitectura tecnológica definida por la UTIC.
1.5 La UTIC deberá asegurarse de inscribir el proyecto de adquisición y/o desarrollo de

software,sistemas y/o aplicativos en el PETIC y en el Portafolio de proyectos de la UTIC.
1.6 Los Responsables de aseguramiento de calidad, deberán someter todo módulo o
componente,desarrollado o adquirido a pruebas unitarias de integración, de funcionalidad, de
volumen, deaceptación del usuario, de seguridad u otras que aseguren la calidad de la
solución tecnológica contratada.
1.7 La UTIC deberá asegurarse de que las unidades responsables solicitantes de la adquisición
odesarrollo de software, sistemas y/o aplicaciones, proporcionen los elementos que apoyen
eldesarrollo del sistema, cumpliendo con los tiempos establecidos en los
compromisoscontractuales.
1.8 Para todos los casos en los que se integren o adicionen componentes de software, sistemas
y/o aplicativos a un sistema, se deberán ejecutar pruebas integrales de funcionalidad,
queaseguren la preservación de la funcionalidad existente.
1.9 El Líder técnico de requerimientos para la solución, conjuntamente con el Responsable

deaseguramiento de calidad deberán documentar la solución tecnológica contratada para
que sea posible su transición y entrega y posterior uso.
1.10 Todo software, sistemas y/o aplicativos adquiridos, deberán ser sometidos a pruebas
devolumen, de estrés e integrales de funcionalidad, en los ambientes de pruebas de la
UTIC hasta asegurar su correcta funcionalidad y reunir las evidencias necesarias y suficientes
para ser aprobadas por escrito por la UTIC y la unidad responsable solicitante.


deEstablecimiento de estructura de gobierno de TIC.
5.7.2 Desarrollo de soluciones tecnológicas

General:
Contar con un marco de referencia para la construcción de una solución tecnológica, incluyendo
laespecificación de los requerimientos, el diseño, el desarrollo, la verificación, validación e integración de
loscomponentes o productos necesarios para su entrega, de manera que se haga el mayor
aprovechamientoposible de los recursos de TIC en la UTIC.
Específicos:
1. Contar con una adecuada identificación de los requerimientos de la unidad responsable solicitante.
2. Procurar la utilización integral de la arquitectura tecnológica definida por la UTIC.
3. Aprovechar los componentes y productos ya existentes.
4. Procurar la revisión puntual de la calidad de los desarrollos
5. Contar con los mecanismos para un monitoreo e identificación y corrección de desviaciones en eldesarrollo
DST-1 Identificar necesidades y especificar requerimientos.
Descripción Identificar las necesidades, expectativas, restricciones e interfaces para la elaboración dela
solución tecnológica y especificar los requerimientos de manera detallada de
solucionestecnológicas.
Factores El Analista de requerimientos, con el apoyo de la unidad responsable solicitante, deberá:

críticos
1. Identificar, modelar y recopilar las necesidades de soluciones tecnológicas de lasunidades
responsables solicitantes con respecto a:
 El marco normativo que incide en las soluciones tecnológicas, cuando corresponda.
 Las expectativas, interfaces y restricciones eventuales existentes, cuandocorresponda.
2. Especificar los requerimientos de soluciones tecnológicas.
 Traducir las necesidades identificadas en requerimientos específicos.
 Representar el modelo de flujo de negocio.
 Documentar, revisar y validar los requerimientos específicos.
3. Generar la visión de la solución tecnológica
 Documentar la visión de la solución tecnológica que solventará las
necesidadesespecificadas, así como los requerimientos específicos a alto nivel; anexar
todadocumentación de soporte que se considere útil.
 Anexo 15, Formato 1 "Modelo de flujo de negocio"
Relación de
productos
 Anexo 15, Formato 2 "Documento de visión del producto o servicio"
DST-2 Desarrollar los requerimientos.
Descripción Establecer y asociar los componentes o productos asociados a los requerimientos

desoluciones tecnológicas de las unidades responsables solicitantes.
Factores El Analista de requerimientos deberá:

críticos
1. Desarrollar los requerimientos de soluciones tecnológicas de las unidadesresponsables
solicitantes, para lo cual:
 Analizará la información obtenida por las unidades responsables solicitantesrespecto a sus
requerimientos de soluciones tecnológicas.
 Especificará y detallará los requerimientos de soluciones tecnológicas ycaracterísticas de las
mismas.
 Integrará la información de esta actividad al Repositorio central de requerimientos.
 Identificará los requerimientos de soluciones tecnológicas necesarios para cadaproducto o
componente de la solución, mediante el diseño de la arquitectura de la solución
tecnológica, asociando las características de calidad del producto, así como las
características de rendimiento, capacidad y disponibilidad necesarias.
2. Identificar interfaces externas e internas.
3. Establecer las relaciones entre los requerimientos de soluciones tecnológicas.
 Anexo 15, Formato 3 "Documento

Relación de de especificación de requerimientos de
productos solucionestecnológicas"
 Repositorio central de requerimientos.
DST-3 Establecer la definición de los requerimientos funcionales.
Descripción Establecer y mantener la descripción de la funcionalidad de la solución tecnológica.

Factorescríticos El Analista de requerimientos deberá:
1. Analizar y especificar los requerimientos funcionales de las soluciones tecnológicas:
La funcionalidad (Análisis funcional), es la descripción de "lo que la solucióntecnológica o
el producto debe hacer" y debe incluir acciones, secuencias, entradas,salidas o cualquier
otra información que comunique la forma en que la solucióntecnológica o el producto se
deberá usar.
2. Generar grupos de requerimientos basados en criterios establecidos
(funcionalidadessimilares) para facilitar y enfocar su análisis.
3. Considerar la secuencia de las funciones, desde su inicio y durante el desarrollo de los
componentes, mediante el Diagrama conceptual de la solución tecnológica:
 Considerar la simulación del requerimiento de la solución tecnológica como unmecanismo
de apoyo.
 Asociar los requerimientos de la solución tecnológica a grupos de funcionalidades, objetos
y/o componentes.
Relación de  Anexo 15, Formato 4 "Diagrama conceptual de la solución tecnológica"

productos
 Repositorio central de requerimientos.
DST-4 Analizar y validar los requerimientos.
Descripción Analizar los requerimientos de soluciones tecnológicas para asegurar que son
losnecesarios y suficientes, que están asociados y que corresponden a las necesidades
yrestricciones descritas por las unidades responsables solicitantes, validarlos para
asegurarque el producto resultante se podrá ejecutar en los ambientes de operación de
acuerdo asu definición.
Factorescríticos El Analista de requerimiento, conjuntamente con el área solicitante y con el apoyo
del Líder técnico del desarrollo, deberán:
1. Analizar los requerimientos de soluciones tecnológicas, asegurar que están completos,
que son factibles de realizar y que pueden ser verificados, además de realizar los
escenarios de prueba.
2. Identificar los requerimientos críticos de soluciones tecnológicas, con fuerte incidencia en
costos, tiempo, funcionalidad, riesgo o rendimiento.
3. Identificar los indicadores de rendimiento que serán monitoreados durante el desarrollo de
la funcionalidad.
4. Analizar los requerimientos de operación de soluciones tecnológicas y los escenariosy las
necesidades de las unidades responsables solicitantes, las restricciones y lasinterfaces
para identificar, en su caso, nuevos requerimientos.
5. Establecer la simulación de un modelo operacional, facilitando el entendimiento
ycorroboración de la necesidad por parte de las unidades responsables
solicitantes,mediante el requerimiento funcional de soluciones tecnológicas propuesto.
6. Analizar los requerimientos de soluciones tecnológicas y establecer un equilibrio entre las
necesidades de las unidades responsables solicitantes y las restricciones (tiempo, costo,
recursos tecnológicos y/o humanos, etc.).
7. Realizar una evaluación de los riesgos en los requerimientos de las
solucionestecnológicas.
8. Analizar los requerimientos de las soluciones tecnológicas para determinar el riesgo de
que el producto no pueda ejecutarse apropiadamente en el ambiente propuesto.
9. Todos los requerimientos de las soluciones tecnológicas deberán ser validados
yaprobados por las unidades responsables solicitantes, el Analista de requerimientos y el
Líder técnico de desarrollo; la aprobación deberá documentarse y resguardarse.
Toda la información generada en este proceso será integrada en el documento
Registro de validación de requerimientos, y también con ésta se deberá actualizar el
Repositorio central de requerimientos.
Relación de  Anexo 15, Formato 5 "Registro de validación de requerimientos"

productos
 Repositorio central de requerimientos
DST-5 Administrar la configuración y los cambios a los requerimientos.
Descripción Administrar los activos asociados a la solución y las solicitudes de cambios en

losrequerimientos de soluciones tecnológicas a lo largo del ciclo de vida del desarrollo de
lasolución tecnológica, mediante la documentación del análisis, evaluación del impacto
entérminos técnicos, tiempo, costo y esfuerzo, así como los riesgos asociados con
dichoscambios.
Factorescríticos El Administrador de la configuración deberá:
1. Identificar los componentes y productos que estarán bajo configuración.
2. Establecer líneas base de los componentes y productos identificados.
3. Establecer un ambiente para la administración de los requerimientos de las soluciones
tecnológicas, sus cambios y rastreabilidad.
4. Establecer los estados asociados a los componentes y productos para laadministración de
los cambios.
5. Identificar los cambios en los requerimientos de las soluciones tecnológicas.
 Registrar todas las solicitudes de cambios, apegándose al proceso deAdministración de
cambios.
6. Analizar y evaluar el impacto de los cambios, haciendo uso de los registros de rastreo y
trazabilidad bidireccional de los requerimientos de las soluciones tecnológicas y
comunicarlos a los involucrados relevantes.
7. Revisar, autorizar y/o rechazar las solicitudes de cambio.
8. Actualizar los documentos de planeación del trabajo, en caso de ser necesario.
9. Administrar la configuración de los productos afectados por los cambios.
10. Administrar las solicitudes de cambio hasta su incorporación o cierre.
11. Verificar que los cambios realizados sean los especificados en la solicitud de cambios y
evaluar el cambio realizado.
La información generada en todos los numerales de este proceso se integrará
alRepositorio de administración de la configuración y al Repositorio de solicitudes
de cambios.
Relación de  Repositorio de administración de la configuración

productos
 Repositorio de solicitudes de cambios
DST-6 Mantener el rastreo de los requerimientos
Descripción Mantener un registro de rastreo entre los requerimientos de soluciones tecnológicas y

loscomponentes de la solución, durante su ciclo de vida.
Factorescríticos El Analista de requerimientos, conjuntamente con el Líder de desarrollo, deberán:
1. Elaborar y mantener actualizada la Matriz de rastreo y/o trazabilidad, la cual debecontener
información relativa a la relación entre las necesidades, los requerimientos de soluciones
tecnológicas, los módulos, los componentes, los objetos, productos,procesos y versiones
de los entregables o productos de la solución.
 La Matriz de rastreo y/o trazabilidad deberá ser:
- Creada desde el inicio de la solución y mantenerse actualizada durante todo el ciclo de
vida del desarrollo de solución tecnológica.
- Utilizada para el análisis de impacto cuando se presenten solicitudes decambio.
- Verificada periódicamente de acuerdo a la planificación de la solucióntecnológica.
 Considerar también en el rastreo, las relaciones entre los elementos mencionados en este
numeral, tanto en forma horizontal como vertical, así como a través de las interfaces.
Relación de  Anexo 15, Formato 6 "Matriz de rastreo y/o trazabilidad"

productos
DST-7 Determinar y seleccionar alternativas de solución

Descripción Definir criterios de selección e identificar y analizar alternativas de solución
tecnológica,para obtener la que cumpla con los requerimientos establecidos y que esté
equilibrada entérminos de costo, tiempo y rendimiento.
Factorescríticos El Arquitecto de soluciones tecnológicas, con el apoyo del Líder técnico del
desarrollo,deberán:
1. Definir criterios de evaluación para seleccionar un conjunto de alternativas de solución
tecnológica a considerar.
2. Identificar tecnología actualmente en uso y/o nuevos productos en el mercado
conventajas competitivas.
3. Identificar productos o componentes existentes, que puedan satisfacer losrequerimientos
de soluciones tecnológicas.
4. Generar alternativas de solución tecnológica, incluyendo el Modelo de
arquitecturacorrespondiente.
5. Realizar una asociación de cada una de las alternativas para cada requerimiento
desolución tecnológica.
6. Analizar posibles cambios en los requerimientos de soluciones tecnológicas, basadosen
las alternativas de solución tecnológica.
7. Determinar los criterios para la selección de la mejor alternativa de solucióntecnológica.
8. Documentar la evaluación, la selección, y aprobación de la alternativa seleccionada en el
Reporte de evaluación de alternativas de solución.
Relación de  Anexo 15, Formato 7 "Modelo de arquitectura de soluciones técnicas"

productos
 Anexo 15, Formato 8 "Reporte de evaluación de alternativas de solución"
DST-8 Generar un diseño detallado de la solución
Descripción Generar el diseño detallado de la solución tecnológica; incluye la arquitectura de

la solución tecnológica, el diseño funcional, el diseño de interfaces, las estructuras de
datos, las relaciones entre los componentes y/o objetos y flujos de información
necesarios.
Factorescríticos El Diseñador de soluciones tecnológicas, con el apoyo del Arquitecto de
solucionestecnológicas y el Líder Técnico del Desarrollo, deberán:
1. Identificar y adoptar métodos de diseño apropiados para cada tipo de solucióntecnológica.
2. Determinar las capas de diseño y el nivel apropiado para la generación de
ladocumentación de cada capa.
3. Desarrollar el diseño de la solución tecnológica.
 La documentación del diseño debe ser generada en términos técnicos y debe incluir las
características y los parámetros necesarios, incluyendo: tamaños, funciones, interfaces,
patrones, entre otros.
4. Asegurar que el diseño se apegue a los estándares y criterios establecidos
5. Asegurar que el diseño se apegue a los requerimientos definidos de
solucionestecnológicas y sean aprobados conforme a la actividad DST-4.
6. Generar un compendio de documentos técnicos que permitan comprender el diseño y
realizar las actividades necesarias para el mantenimiento de la solución tecnológica.
7. Identificar las interfaces asociadas con otros componentes o productos, así como
conentidades externas.
8. Aplicar criterios establecidos para el diseño de las interfaces.
9. Documentar el diseño con sus capas, paquetes e interfaces, incluyendo las razonesde la
decisión de la alternativa de la solución tecnológica seleccionada.
Relación de  Anexo 15, Formato 9 "Documento de diseño"

productos
DST-9 Realizar análisis de hacer, reutilizar o comprar.
Descripción Analizar y evaluar qué elementos o componentes de la solución tecnológica requieren

serdesarrollados y cuáles pueden ser reutilizados o comprados.
Factorescríticos El Diseñador de soluciones tecnológicas, con el apoyo del Arquitecto de

solucionestecnológicas, deberán:
1. Establecer criterios de decisión para la reutilización o compra de componentes dediseño,
así como establecer el método de análisis y valoración.
2. Verificar la existencia o inexistencia de alguna solución tecnológica similar.
3. Validar la viabilidad de reutilización de soluciones tecnológicas similares.
4. Determinar las implicaciones de implementar componentes adquiridos, en caso
demantenimiento.
5. Documentar qué elementos y componentes serán reutilizados y cuáles podríancomprarse
y, de ser el caso, documentar en el reporte de evaluación de componentes, por qué no se
reutilizarán los componentes.
Relación de  Anexo 15, Formato 9 "Documento de diseño"

productos
 Anexo 15, Formato 10 "Reporte de evaluación de componentes"
DST-10 Construir la solución tecnológica
Descripción Construir la solución tecnológica con base en los requerimientos de solución

tecnológicaespecificados, a partir de los documentos de diseño.
Factorescríticos El Líder técnico del desarrollo y los Desarrolladores, con apoyo del Ingeniero de
pruebas de soluciones tecnológicas, deberán:
1. Establecer y usar métodos efectivos para la implementación e integración de
loscomponentes y/o productos.
2. Aplicar estándares y criterios establecidos para el desarrollo.
3. Construir los componentes y productos de la solución tecnológica e integrarlos en
elRepositorio de productos/componentes.
4. Ejecutar pruebas unitarias de los productos o componentes y conservar evidencias.
5. Realizar las revisiones necesarias de productos y componentes.
6. Establecer un ambiente para la re-utilización de componentes propios de laconstrucción
de la solución tecnológica, referirse al proceso de Administración de laconfiguración.
La información generada en este numeral se integrará al Repositorio de administración de
la configuración y al Repositorio de solicitudes de cambios.
Relación de  Anexo 15, Formato 11 "Registro de pruebas unitarias"

productos
 Repositorio de productos/componentes
 Repositorio de solicitudes de cambios
 Repositorio de administración de la configuración
DST-11 Generar y mantener la documentación del producto
Descripción Desarrollar y actualizar la documentación que va a ser utilizada para realizar la

instalación,sustentar la operación y dar mantenimiento a la solución tecnológica.
Factorescríticos El Líder Técnico del desarrollo y los Desarrolladores deberán:

1. Generar la documentación de instalación, operación y mantenimiento de la
solucióntecnológica e integrarla el Manual técnico de la solución tecnológica.
2. Generar la documentación necesaria para el uso de la solución tecnológica por launidad
responsable solicitante e integrarla en el Instructivo de operación la solucióntecnológica.
3. Aplicar estándares en la generación de la documentación.
4. Realizar revisiones entre colegas de los documentos de instalación, operación
ymantenimiento, referirse al proceso de Calidad de soluciones tecnológicas e integrarlas
al Reporte de revisión.
Relación de  Anexo 15, Formato 12 "Reporte de revisión"
productos
 Anexo 15, Formato 13 "Manual técnico de la solución tecnológica"
 Anexo 15, Formato 14 "Instructivo de operación la solución tecnológica"
DST-12 Determinar los componentes o productos que serán integrados en la solución

tecnológica y su secuencia
Descripción Establecer la secuencia y los pasos que requieren seguirse para realizar la integración
delos diversos productos y/o componentes a la solución tecnológica.
Factorescríticos El Integrador de la solución tecnológica, con apoyo del Líder técnico del desarrollo y
losDesarrolladores, deberán:
1. Identificar los productos o componentes que serán integrados a la solucióntecnológica.
Pueden existir productos o componentes a ser integrados, la integración puede seralgún
elemento externo, accesorios o herramienta de prueba. Una vez analizadas
lasalternativas de pruebas de la integración de la solución tecnológica y la secuencia
deensamblaje para la misma, se selecciona la mejor secuencia de integración de
lasolución tecnológica. La integración de la solución tecnológica puede
implicarcomponentes en diferentes fases del ciclo de vida de desarrollo del producto.
Sedeberá evaluar la mejor alternativa para la integración.
2. Identificar los tipos de verificación que serán ejecutadas durante la integración.
3. Identificar las alternativas de integración y de secuencia.
4. Seleccionar la mejor alternativa para la integración de la solución tecnológica,señalando la
secuencia que seguirá ésta para cada componente; deberádocumentarse la justificación
de la alternativa de integración seleccionada para estasolución tecnológica.
5. Realizar revisiones periódicas de la secuencia de integración y realizar lasvalidaciones
necesarias.
6. Registrar las justificaciones de la toma de decisión.
Relación de  Anexo 15, Formato 15 "Reporte de integración"

productos
DST-13 Validar y administrar interfaces
Descripción Revisar y mantener la consistencia de las especificaciones de las interfaces durante

elciclo de vida del producto y administrar sus cambios.
Factorescríticos El Líder técnico de desarrollo y los Desarrolladores deberán:
1. Identificar y documentar el flujo del proceso de cambios y notificación para laactualización
de las interfaces, en el registro de cambios correspondiente.
2. Revisar las especificaciones de las interfaces manteniendo su registro en
formacentralizada y asegurar su actualización en forma periódica, mediante el registro
derevisiones.
3. Asegurar la compatibilidad de las interfaces durante la vida del producto.
4. Verificar el cumplimiento de las interfaces identificadas, así como favorecer
lacomunicación de los cambios y activos.
5. Administrar los cambios en las especificaciones de interfaces.
Con las actividades señaladas en los numerales 3 a 5 se actualizan los documentos
deespecificación de requerimientos y de diseño, así como de Repositorio de solicitudes
decambio y el de Repositorio de la configuración.
Relación de  Anexo 15, Formato 16 "Registro de cambios"
productos
 Anexo 15, Formato 17 "Registro de revisiones"
 Documento de especificación de requerimientos
 Documento de diseño
 Repositorio de solicitudes de cambio
 Repositorio de la configuración
DST-14 Ensamblar componentes de la solución
Descripción Asegurar que el ensamblado de los componentes dentro de la solución tecnológica

seincorpore de acuerdo a la secuencia de integración establecida y de acuerdo a
losprocedimientos estipulados.
Factorescríticos El Integrador de la solución tecnológica, con el apoyo del Líder técnico de desarrollo y
elRevisor, deberán:
1. Dar seguimiento al estatus de cada uno de los componentes tan pronto como
esténdisponibles para realizar la integración de solución tecnológica.
2. Cuidar que los componentes sean liberados al ambiente de integración, de acuerdo con la
secuencia de integración de solución tecnológica y los procedimientos disponibles.
3. Confirmar la recepción de cada componente identificado adecuadamente.
4. Asegurar que cada componente recibido cumpla con la descripción correcta.
5. Validar que los componentes cumplan con la configuración establecida.
6. Asegurar la disponibilidad del ambiente de integración.
7. Asegurar que la secuencia de ensamblado es ejecutada de forma adecuada.
8. Llevar a cabo evaluaciones del ensamblado de los componentes siguiendo lasecuencia de
integración del producto, así como los procedimientos disponibles.
9. Mantener un registro de los resultados de la evaluación.
Una vez finalizada la solución tecnológica deberá integrarse en el Repositorio de
laconfiguración, así como en el Repositorio de productos/componentes.
Relación de  Solución integrada

productos
 Repositorio de la configuración
DST-15 Realizar la entrega
Descripción Generar un paquete con los productos o componentes ensamblados y realizar la

entrega de la solución tecnológica.
Factorescríticos El Integrador de la solución tecnológica, con el apoyo del Líder técnico del
desarrollo,deberán:
1. Realizar una revisión de los requerimientos, diseño, productos, resultados de
lasverificaciones y de la documentación generada en cada fase del desarrollo
delproducto.
 Asegurar que los aspectos que puedan afectar el empaquetado y la entrega delproducto han
sido identificados y resueltos.
2. Generar el paquete y la entrega del producto ensamblado.
3. Realizar la entrega del producto y la documentación relacionada y confirmar larecepción.
Estas actividades deberán efectuarse en coordinación con los Responsables del grupo
deprocesos Transición y Entrega.
Relación de  Paquete de entregables de la solución tecnológica

productos


Rol Descripción
Analista de  Identificar necesidades y especificar requerimientos de solución tecnológica.
requerimientos
 Desarrollar los requerimientos de la solución tecnológica.
 Establecer la definición de los requerimientos funcionales.
 Analizar y validar los requerimientos.
 Determinar y seleccionar alternativas de solución tecnológica.
Arquitecto de
soluciones
tecnológicas
 Generar un diseño detallado de la solución tecnológica.

Diseñador de
soluciones
 Realizar análisis de hacer, reutilizar o comprar componentes de la solucióntecnológica.
tecnológicas
 Administrar la configuración y los cambios al requerimiento de solucionestecnológicas.
Administrador
de la
configuración.
 Construir la solución tecnológica.

Desarrollador
 Generar y mantener la construcción del producto.
 Validar y administrar interfaces.
 Determinar los componentes o productos que serán integrados en la solucióntecnológica y
Integrador de
la solución su secuencia.
tecnológica.
 Ensamblar componentes de la solución tecnológica.
Ingeniero de Participar en la construcción tecnológica, conduciendo las pruebas programadas.
pruebas de
soluciones
tecnológicas
Líder técnico Conducir la construcción de la solución tecnológica.
del Desarrollo
 Generar y mantener la documentación del producto.
 Validar y administrar las interfaces.
Revisor  Validar la actividad de ensamble de componentes de la solución tecnológica.
Unidades  Apoyar en la identificación de necesidades y requerimientos de la solucióntecnológica.
responsables
solicitantes
 Aprobar los requerimientos de la solución tecnológica.
5.7.2.3 Indicadores
Frecuencia
de cálculo
Eficacia en el Conocer la Eficacia De gestión % de eficacia= El Administrador Semestral
proceso de eficacia del (Número de del proceso de
Desarrollo de proceso de desarrollos Desarrollo de
soluciones Desarrollo de concluidos en soluciones
tecnológicas soluciones tiempo y forma / tecnológicas
tecnológicas total de
desarrollos) X 100
Satisfacción Conocer Obtener la Calidad De gestión Indice= (Número El Administrador Semestral

del unidades calidad con medición del de unidades del proceso de
responsables la que se numero de responsables Desarrollo de
solicitantes está unidades solicitantes soluciones
efectuando el responsables satisfechos con la tecnológicas
proceso solicitantes calidad del
satisfechos producto o
servicio / Número
total de productos
y servicios
elaborados) X 100

UITC, los roles que deberán desempeñar en este proceso, así como al Responsable de
la administración del mismo.
1.2 El Administrador de este proceso deberá cuidar que las especificaciones de los
requerimientosde las soluciones tecnológicas estén alineadas a las necesidades de
institucionalesidentificadas.
1.3 El Administrador este proceso se asegurará de que el proyecto para la solución
tecnológicaquede inscrito en el PETIC y en el Portafolio de proyectos de TIC.
1.4 El Administrador de este proceso deberá confirmar la inexistencia de productos con
unafuncionalidad similar a la requerida por la unidad responsable solicitante a un costo más
bajo que el estimado para el desarrollo en el mercado, y que en la Administración Pública
Federal noexisten aplicaciones de software similares que puedan satisfacer las necesidades del
áreausuaria. Comprobando, en su caso, la viabilidad de adecuaciones a las similares
encontradas.
1.5 El Administrador de este proceso se asegurará que se establecen los criterios de aceptación
yprocedimientos de verificación y validación que permitan garantizar que la solución
tecnológicano presenta defectos y funciona correctamente, para todo desarrollo en curso.
1.6 El Administrador de este proceso se asegurará que se establezcan
procedimientosdocumentados para realizar la integración de los productos y/o componentes de
la solucióntecnológica, para todo desarrollo en curso.
1.7 El Administrador de este proceso se asegurará de que toda solución tecnológica

desarrollada,integrada y validada siga los procesos del grupo de procesos de Transición y
Entrega.
1.8 La UTIC deberá seguir una metodología de desarrollo de sistemas que integre en
susprocedimientos la aplicación y seguimiento de las mejores prácticas en el desarrollo
de sistemas y aplicativos. Esta metodología deberá estar apegada a las mejores
prácticas aplicables, inclusive a una personalización de éstas, siempre y cuando se asegure
la integralidad del desarrollo y el control en cada una de sus fases, recursos aplicados
y entregables.
1.9 La UTIC definirá los estándares tecnológicos de publicación en Internet e intranet para
laInstitución y, para mantener la coherencia de diseño, así como el apego a los
objetivosinstitucionales, apoyándose del área de Comunicación Social o su equivalente.
1.10 La UTIC llevará el control de las unidades responsables solicitantes a las que
conceda permisos para desarrollos y publicación en los sitios institucionales de Internet e
intranet y les hará saber que de su responsabilidad sobre el manejo de los datos que publiquen.
Deberá quedar una evidencia escrita del conocimiento del usuario acerca de esta
responsabilidad.
1.11 La UTIC evaluará el software y los sistemas o aplicativos que utilizará en sus procesos
oproyectos de desarrollo de soluciones tecnológicas, conforme a los criterios de cumplimiento
derequerimientos; capacidad y calidad para integrarse a otros sistemas, internos y externos,
enoperación y estimará los costos iniciales de implantación, mantenimiento y soporte a lo largo
desu vida útil.
1.12 Todas las unidades responsables que, por sus atribuciones o proyectos especiales,
desarrollen,implementen o proporcionen mantenimiento a las soluciones tecnológicas deberán
observar losprocesos descritos en el presente Manual y serán responsables de la ejecución de
los ajustesnecesarios para asegurar que las soluciones tecnológicas estén alineadas a las
definiciones dedesarrollo que se especifican en el presente Manual.
1.13 Este proceso y los demás relacionados con el mismo, aplican para todo sistema que
seencuentre en fase de gestión de requerimientos, análisis, diseño, codificación,
pruebas,liberación o mantenimiento.
1.14 Como parte de su metodología de desarrollo de soluciones tecnológicas, la UTIC
cuandoadquiera, desarrolle o proporcione mantenimiento de software, sistemas y/o
aplicativosproporcionará evidencias de las pruebas unitarias efectuadas.
1.15 La UTIC, siempre que adicione componentes de software a un sistema o aplicativo

en operación, deberá ejecutar pruebas integrales, para asegurar la preservación de
la funcionalidad existente y la correcta funcionalidad adicionada.
1.16 Las Instituciones, a través de la UTIC, deberán contar con un catálogo de software
desoluciones tecnológicas: sistemas, aplicativos, componentes o cualquier pieza reusable,
parapromover un mejor aprovechamiento en su uso. El catálogo antes mencionado deberá
conteneruna ficha de especificaciones funcionales, no funcionales y de arquitectura tecnológica.
1.17 La UTIC, efectuará una revisión periódica anual, de su catálogo de software y lo pondrán
adisposición de la Unidad de Gobierno Digital de la Secretaría, para que pueda ser utilizado
enalguna otra Institución.
1.18 La UTIC deberá definir e implementar las mediciones de eficiencia en los

procedimientos durante el ciclo de vida del desarrollo, de forma que éstas sirvan para la
operación de indicadores de rendimiento, que permitan establecer acciones de mejora y el
aprovechamiento máximo de los recursos que se aplican durante el ciclo de vida del desarrollo
de sistemas y aplicativos.
1.19 Para el caso de los desarrollos de software, sistemas y/o aplicativos vía fábrica de software,
laUTIC deberá comprobar, previo a la contratación, que el proveedor cuenta con metodologías
ymejores prácticas probadas, mediante la presentación de la documentación que sustente
susaseveraciones, en los procesos de investigación de mercado y de adquisición.
1.20 El Responsable del proyecto de desarrollo por fábrica de software deberá supervisar que
elproveedor contratado para el desarrollo siga la metodología definida y comprometida en
elcontrato correspondiente y, adicionalmente, la utilizada por la UTIC para los grupos
de procesos de Transición y entrega.
1.21 La UTIC deberá proteger el software, sistemas y/o aplicativos desarrollados a efecto
deminimizar el riesgo de fugas de información que revelen información confidencial sobre
laoperación de la Institución, transacciones y/o cualquier dato que atente contra su seguridad
y se asegurará de que el código y los componentes del software, sistemas y/o
aplicativosdesarrollados permanezcan como propiedad intelectual de la Institución, en términos
de lasdisposiciones legales en la materia.
1.22 El uso de datos operacionales, con propósito de pruebas en el desarrollo de sistemas no

estápermitido; si fuera necesario utilizar datos de este tipo, se requerirá contar con la
autorización de la unidad responsable solicitante.
1.23 La Institución, a través de la UTIC, deberá asegurarse de que cualquier persona ajena a
laInstitución vinculado con alguno de los procesos de TIC se comprometa a guardar
estrictosecreto sobre el software y su proceso de desarrollo y, reconozca que el código y todos
suscomponentes son propiedad del Gobierno Federal, por lo que no podrá copiar ni reutilizar
elcódigo, de manera parcial o total, para propósitos distintos al previsto en el contrato que
hayancelebrado con la Institución.
1.24 La UTIC deberá implementar controles que impidan que el código, los componentes
del software, sistemas y/o aplicativos y todos los demás elementos relacionados con el software
se copien en medio alguno, sean enviados por correo electrónico, fax u otro medio, se impriman
o se publiquen en cualquier medio, para fines diferentes a los autorizados para llevar a cabo
lasactividades de cada uno de los miembros del equipo de desarrollo, con base en el
privilegiomínimo otorgado.
1.25 La UTIC deberá asegurarse de que en todo componente de software se incorporen controles de
seguridad mínimos que protejan las transacciones y los datos, de acuerdo con su sensibilidad y
criticidad. Ello con la finalidad de asegurar la confidencialidad, integridad y disponibilidad de los
datos y transacciones que realiza una aplicación, así como la funcionalidad que fue aprobada
como versión para producción
1.26 Las medidas de seguridad que defina la UTIC para el software, sistemas y/o
aplicacionesestarán en función de la clasificación de la información que generen, almacenen o
procesen.
1.27 Los ambientes de desarrollo, pruebas y producción, deben estar separados, tanto a nivel
físicocomo lógico.
1.28 Las herramientas para el desarrollo de software deberán ser accesibles sólo para
losinvolucrados autorizados en el desarrollo de soluciones tecnológicas.
1.29 Las herramientas de desarrollo de software deben eliminarse de cualquier equipo de

cómputo,una vez concluida la actividad de desarrollo para la cual fueron instaladas.
1.30 Para el caso de desarrollo de publicaciones en Internet e intranet, la UTIC, será responsable
deapoyar técnicamente a los usuarios que lo soliciten.
1.31 El desarrollo de aplicaciones en Internet deberá apegarse a los estándares que para tal
efectose definen en este proceso
1.32 Para el caso de desarrollo de publicaciones en Internet e intranet, la UTIC, proporcionará

lasherramientas y mecanismos, así como capacitación a los usuarios que lo soliciten.
1.33 La UTIC no tendrá responsabilidad sobre los contenidos que publiquen los usuarios en el
sitio de Internet institucional y/o en las páginas intranet de la Institución. Dicha responsabilidad
seráexclusivamente del área autorizada para efectuar la publicación. La UTIC comunicará
esta regla al momento de otorgar el permiso de publicación a los usuarios que lo soliciten.
1.34 La UTIC deberá retirar o deshabilitar servidores que ofrezcan servicios de

Internet, transferencia de datos o almacenamiento que no haya autorizado y que operen en
la infraestructura de TIC institucional.
1.35 La UTIC será la responsable de la administración tecnológica del sitio de Internet

institucional,servidores, infraestructura de comunicaciones y transferencia de contenidos al
servidor web,así como de todas aquéllas en las que participen terceros, en la que deban
asegurarse nivelesde servicio y de seguridad de la infraestructura y de la información.
1.36 La permanencia y actualización de la información en el portal de Internet e intranet

seráresponsabilidad de la unidad responsable solicitante de la publicación. La UTIC podrá
efectuardepuraciones notificando previamente a los usuarios.
1.37 En el desarrollo de aplicaciones en Internet se deberá considerar que el servicio web sólo
debeser usado con el propósito de comunicación o consulta de asuntos relativos a la
Institución, deinterés nacional o de aquéllos indicados por instancias superiores.


5.7.3. Calidad de soluciones tecnológicas
5.7.3.1. Objetivos del proceso
General:
Procurar que los productos de las soluciones tecnológicas desarrolladas o adquiridas, cumplan con
losrequerimientos especificados, con el propósito de que las mismas sean sometidas revisiones
periódicas de calidad.
Específicos:
1. Contar con criterios de verificación de las soluciones tecnológicas, para que los mismos puedan
serincluidos en programas del proyecto de desarrollo de la solución tecnológica.
2. Establecer escenarios previos que permitan que la solución tecnológica desarrollada o adquirida pueda
implementarse en el ambiente operativo destinado.
CST-1 Seleccionar los productos y el ambiente para la ejecución de la verificación
Descripción Seleccionar los entregables o productos de la solución tecnológica adquirida que se van
averificar y los métodos de verificación a utilizar.
Factorescríticos El Administrador de calidad, con apoyo del Responsable de aseguramiento de la
calidad,deberá:
1. Identificar los entregables o productos adquiridos o desarrollados que seránverificados.
Los entregables o productos deben ser seleccionados basándose en su contribución al
cumplimiento de objetivos y requerimientos.
2. Identificar los métodos de verificación disponibles, que serán usados para la revisiónde
cada entregable o producto de trabajo seleccionado.
3. Identificar los requerimientos del ambiente para la verificación y establecimiento
delmismo.
4. Identificar los recursos para la verificación que están disponibles para reutilizar ymodificar.
5. Identificar el equipo y herramientas de verificación, y se procurará evitar que
dichaverificación se realice en los casos en que el equipo y las herramientas se
encuentreninvolucrados en un proceso de desarrollo de solución tecnológica.
6. Establecer y mantener procedimientos y criterios de verificación para los entregables o
productos seleccionados.
Toda la información que se genera de esta actividad se integrará en un programa
de calidad para la solución tecnológica de que se trate; las actividades que se
programen deberán acoplarse a las actividades del proceso de Desarrollo de la solución
tecnológica.
Relación de  Anexo 16, Formato 1 "Documento de ambiente de verificación"

productos
 Anexo 16, Formato 2 "Programa de calidad"
CST-2 Ejecutar verificaciones
Descripción Ejecutar la verificación de los entregables o productos seleccionados y analizar

losresultados.
Factorescríticos Se establecerá un Grupo de aseguramiento de calidad en las Instituciones, integrado

pordiversos servidores públicos de la UTIC.
El Responsable de aseguramiento de calidad y el Grupo de aseguramiento de
calidaddeberán:
1. Verificar y relacionar los productos intermedios seleccionados contra susrequerimientos.
Las verificaciones a los productos intermedios facilitan una detección temprana
deproblemas y pueden resultar en la eliminación temprana de defectos,
dichasverificaciones deberán considerar revisiones, inspecciones y pruebas internas.
2. Registrar y analizar los resultados de las actividades de verificación.
3. Identificar acciones a implementar, como resultado de verificaciones a los entregables o
productos y darles seguimiento hasta el cierre de los hallazgos identificados.
4. Documentar la ejecución de la verificación
Relación de  Anexo 16, Formato 3 "Listas de verificación"

productos
 Anexo 16, Formato 4 "Reportes de revisión"
 Repositorio de ambiente de reportes de revisión
CST-3 Preparar y conducir revisiones entre los involucrados en el desarrollo
Descripción Preparar y conducir revisiones entre los diversos involucrados en el desarrollo,
querealicen actividades similares, sobre los entregables o productos seleccionados para
laidentificación de defectos en una etapa temprana.
Factorescríticos Los Involucrados en el proceso de Desarrollo de la solución tecnológica, con el apoyo
delAuditor de calidad, deberán:
1. Determinar el tipo de revisión que se va a efectuar entre los involucrados en eldesarrollo.
2. Establecer y actualizar criterios de entrada y salida para la revisión que se efectúeentre
los mismos.
3. Establecer y mantener listas de verificación para asegurar que los entregables oproductos
son revisados consistentemente, las cuales podrán modifican según seanecesario para
dirigir un tipo específico de revisión entre los involucrados en eldesarrollo para un
entregable o producto.
4. Programar las revisiones entre los involucrados en el desarrollo.
5. Ejecutar las revisiones para identificar si los entregables o productos satisfacen
loscriterios para una revisión entre los involucrados en el desarrollo, antes de
sudistribución.
6. Distribuir, con suficiente antelación, entre los involucrados en el desarrollo losentregables
o productos que van a ser revisados y la información relacionada, parahacer posible una
adecuada preparación de la revisión entre los involucrados en eldesarrollo.
7. Asignar roles para la revisión entre los involucrados en el desarrollo, según proceda.
8. Identificar y documentar defectos y otros hallazgos en los entregables o productos.
9. Conducir una revisión adicional entre los involucrados en el desarrollo, si los
criteriosdefinidos indican la necesidad de ejecutarla.
10. Asegurar que los criterios de éxito, para la revisión entre los involucrados en eldesarrollo,
se satisfacen.
11. Almacenar los datos para futuras referencias y análisis.
12. Proteger los datos de las revisiones entre los involucrados en el desarrollo, paraprocurar
que no sean usados de manera inapropiada.
Relación de  Anexo 16, Formato 3 "Listas de verificación"

productos
CST-4 Analizar resultados de la verificación
Descripción Analizar los resultados de todas las actividades de verificación.

Factorescríticos El Auditor de calidad, con el apoyo del Líder técnico del desarrollo definido en el
proceso de Desarrollo de la solución tecnológica, deberán:
1. Comparar resultados de la verificación contra resultados esperados y establecercriterios
de aceptabilidad de los entregables o productos.
2. Identificar, con base en los criterios de aceptabilidad, los productos que no hancumplido
con sus requerimientos o identificar problemas con los métodos,procedimientos, criterios y
verificación de ambiente.
3. Analizar los datos de verificación de los defectos (hallazgos y "no conformidades").
4. Registrar todos los resultados del análisis en un reporte de revisión.
5. Utilizar los resultados de verificaciones para comparar mediciones obtenidas yprevistas.
6. Proporcionar información sobre la manera de resolver los defectos, incluyendométodos de
verificación, criterios y ambiente de verificación y formalizarlas en undocumento,
estableciendo responsabilidades y tiempos de resolución.
Relación de  Anexo 16, Formato 4 "Reportes de revisión"

productos
 Repositorio de ambiente de reportes de revisión
CST-5 Seleccionar productos para validación
Descripción Seleccionar los productos y componentes de productos para ser validados y los
métodosde validación que serán usados para cada uno.
Factorescríticos El Ingeniero de pruebas, con el apoyo de el Auditor de calidad y el Líder técnico
deldesarrollo designado en el proceso de Desarrollo de soluciones tecnológicas, deberán:
1. Identificar los principios fundamentales, características y fases para la validación de la
solución tecnológica durante todo el ciclo de vida de la elaboración.
2. Determinar las categorías de necesidades de usuarios (operacional,
mantenimiento,capacitación, o soporte) que serán validadas.
3. Los productos o componentes de productos deberán ser sustentables en su
propioambiente operacional. Este factor crítico también se refiere al
mantenimiento,capacitación y servicios de soporte que pueden ser liberados con el
producto.
4. Seleccionar el producto o componentes de la solución tecnológica a ser validados.
5. Seleccionar los métodos para la validación del producto o componentes de la solución
tecnológica que se adquiere, realizando las pruebas y valoración haciendo uso de
herramientas de apoyo para:
 La realización de pruebas de caja blanca y caja negra.
 La realización de pruebas funcionales,
 La realización de pruebas de rendimiento,
 La realización de pruebas de seguridad.
 La realización de todas aquellas pruebas requeridas para validar la funcionalidad y
operación en los ambientes productivos finales.
6. Revisar la validación seleccionada, restricciones y métodos con los
involucradosinteresados, así como la unidad responsable solicitante.
Toda la información que se genera de esta actividad deberá integrarse en un programa
decalidad para la solución tecnológica de que se trate; las actividades que se
programendeberán acoplarse a las actividades del proceso de Desarrollo de la solución
tecnológica
Relación de  Anexo 16, Formato 2 "Programa de calidad"
productos
CST-6 Establecer el ambiente para la validación

Descripción Establecer y mantener los requerimientos de ambiente para la ejecución de la validación.
Factorescríticos El Ingeniero de pruebas, con el apoyo del Administrador de calidad así como del
Líder técnico del desarrollo designado en el proceso de Desarrollo de soluciones
tecnológicas, deberán:
1. Identificar los requerimientos para el ambiente de validación. Los requerimientos para el
ambiente de validación son impulsados por el producto o servicio seleccionado, por el tipo
de producto de trabajo y por el método de validación.
2. Identificar los productos suministrados por la unidad responsable solicitante.
3. Identificar elementos reutilizables.
4. Identificar a los involucrados, las plataformas y las herramientas para la realización delas
diferentes pruebas establecidas.
5. Identificar herramientas para la administración de las pruebas.
6. Definir un ambiente colaborativo para las herramientas de validación y establecer
losniveles de acceso necesarios para mantener la integridad, monitoreo y control de
losresultados de las validaciones.
7. Identificar los recursos de validación disponibles para reutilización e integración de
lasolución tecnológica.
8. Planear la disponibilidad de los involucrados que participarán durante las validaciones.
Toda la información generada en esta actividad deberá integrarse en el
Documento Ambiente de validación.
Relación de  Anexo 16, Formato 5 "Documento de ambiente de validación"

productos
CST-7 Establecer y ejecutar la validación
Descripción Establecer y mantener los mecanismos de validación aplicando los criterios de validación
Factorescríticos El Ingeniero de pruebas, con el apoyo por el Administrador de calidad y el Grupo de
trabajode aseguramiento de calidad, deberán:
1. Revisar los requerimientos del producto para asegurar que los defectos del producto o
servicio adquirido sean identificados y resueltos.
2. Documentar el ambiente, escenarios operacionales y de prueba, procedimientos,entradas,
salidas y criterios para la validación de los productos o servicios adquiridos.
3. Favorecer la generación de una infraestructura de pruebas que garantice elreutilización de
activos utilizados en las validaciones.
4. Los procedimientos y criterios de validación deberán ser definidos para asegurar quelos
productos o componentes de la solución tecnológica cumplan con su propósito.
5. Al ser ejecutadas las actividades de validación se deberá asegurar que los
datosresultantes son recolectados y analizados de acuerdo a los métodos,
procedimientos y criterios establecidos.
6. Evaluar el producto o servicio adquirido a medida que madura en el contexto devalidación
del ambiente, para identificar defectos de validación.
7. Comparar los resultados actuales contra los resultados esperados, bajo un entorno
decolaboración.
8. Identificar con base en los criterios de validación establecidos, aquellos productos
ycomponentes de productos que no cumplen adecuadamente con su propósito en
susambientes operativos, o identificar problemas con los métodos, criterios y/o ambientes.
9. Analizar los datos de validación de los defectos.
10. Registrar los resultados del análisis e identificar defectos en el reportecorrespondiente.
11. Utilizar los resultados de la validación para comparar mediciones actuales y derendimiento
contra el uso previsto o necesidades operacionales.
12. Identificar las acciones a realizar para el cierre de los hallazgos en los entregables
oproductos que no pasan la validación.
Relación de  Anexo 16, Formato 6 "Escenarios de prueba"
productos
CST-8: Evaluar los procesos, entregables o productos y servicios
Descripción Se evalúa objetivamente que los procesos desarrollados y sus entregables o productos
yservicios asociados, se hayan realizado de acuerdo los estándares establecidos.
Factorescríticos El Revisor de calidad, con el apoyo del Líder técnico del desarrollo designado en
el proceso de Desarrollo de calidad, deberán:
1. Seleccionar los entregables o productos que serán evaluados.
2. Se deberán definir y establecer los criterios de evaluación para los entregables
oproductos, servicios y la cohesión de los procesos contra las descripciones deprocesos,
estándares y procedimientos.
Los criterios de evaluación de procesos, entregables o productos y servicios
deberándefinirse basados en las necesidades de la Institución, tales como:
- Los entregables o productos a evaluar.
- La frecuencia con que serán evaluados los procesos y entregables o productos.
- El mecanismo de la evaluación.
- Los involucrados en la evaluación.
En esta evaluación se deberá procurar que los servidores públicos de la UTIC
queintervengan en estas actividades no sean los que fueron designados
comoDesarrolladores de la solución tecnológica durante el proceso de Desarrollo
de solución tecnológica.
3. Realizar la evaluación de los entregables o productos antes de que sean entregados a las
unidades responsables solicitantes en hitos de control seleccionados durante
sudesarrollo.
4. Identificar hallazgos durante las evaluaciones y elaborar el reporte de revisiones.
La información generada en esta actividad se aprovechará para elaborar los
documentos de Listas de verificación, Reportes de revisión y Lecciones aprendidas, así
como paraactualizar el Programa de calidad.
Relación de  Anexo16, Formato 3 "Listas de verificación"
productos
 Anexo 16, Formato 7 "Lecciones aprendidas"
 Anexo 16, Formato 2 "Programa de calidad"
CST-9: Comunicar y asegurar la resolución de las "no conformidades"
Descripción Comunicar los asuntos a los involucrados y asegurar la resolución de

las "noconformidades".
Factorescríticos El Administrador de calidad apoyado por el Auditor de calidad y por el Ingeniero de
pruebasdeberán de:
1. Resolver cada "no conformidad" con los participantes apropiados del equipo, cuandosea
posible.
 Los estatus de las "no conformidades" deben proveer un indicador de lastendencias de
calidad.
2. Documentar las "no conformidades" cuando no puedan ser resueltas dentro delproyecto.
3. Informar a involucrados interesados sobre las "no conformidades" que no puedan
serresueltas para que establezcan acciones alternas que las corrijan o suplan.
4. Analizar las "no conformidades" para constatar si existen tendencias de calidad
quepuedan ser identificadas y corregidas.
5. Procurar que los involucrados interesados se enteren oportunamente de los resultados de
las evaluaciones y de las tendencias de calidad.
6. Realizar y registrar las revisiones periódicas sobre las "no conformidades".
7. Dar seguimiento a las "no conformidades" hasta su cierre.
Relación de  Anexo 16, Formato 4 "Reportes de revisión"

productos

Rol Responsabilidad
 Selecciona los productos y el ambiente para la ejecución de la verificación.
Administrador
de calidad
 Establece y ejecuta la validación.
 Comunica y asegura la resolución de las "no conformidades".
Revisor de  Evalúa los procesos, entregables o productos y servicios.

calidad
Ingeniero de Selecciona y establece los productos y ejecuta la validación de los mismos.
pruebas
 Comunica y asegura las resoluciones de las "no conformidades".
Auditor de  Prepara y conduce revisiones entre los involucrados en el desarrollo.
calidad
 Analiza resultados de la verificación.
 Selecciona productos para la validación.
 Comunica y asegura las resoluciones de las "no conformidades".
Grupo de  Prepara y conduce revisiones entre los involucrados en el desarrollo.

trabajo se
 Establece y ejecuta la validación.
aseguramiento
de calidad
Responsable Selecciona los productos y el ambiente para la ejecución de la verificación.
de
 Ejecuta y verifica los entregables y productos.
aseguramiento
de calidad
Involucrados Prepara y conduce las revisiones entre los involucrados en el desarrollo.
en el
desarrollo
5.7.3.3 Indicadores
Responsabl Frecuencia de
Nombre Objetivo Descripción Dimensión Tipo Fórmula
e cálculo
Cumplimient Medir la Obtener el Eficiencia De % de eficiencia= Administrado Semestral

oa eficiencia del porcentaje de gestión (Número de r del proceso
revisiones proceso por revisiones revisiones de calidad
de calidad medio del efectuadas por efectuadas en el
cumplimiento cada solución desarrollo de cada
del número de validada al solución tecnológica)
revisiones de respecto de las / (número de
calidad revisiones revisiones de calidad
efectuadas planeadas planeadas en cada
solución tecnológica)
x 100
UTIC,los roles que deberán desempeñar en este proceso, así como al Responsable de
laadministración de este proceso.
1.2 La UTIC deberá establecer criterios de aceptación y procedimientos de verificación y validación

que permitan verificar que la solución tecnológica no presenta defectos y
funcionacorrectamente.
1.3 El Líder técnico del desarrollo tendrá la responsabilidad del aseguramiento de la calidad de
losproductos, componentes y documentos asociados a la entrega de la solución tecnológica.
1.4 Se deberán implementar las acciones correctivas necesarias para cada defecto detectado
enlos procesos de verificación y validación, así como darles seguimiento hasta su atención
total y definitiva.
1.5 Se deberán analizar los resultados de los diferentes tipos de revisiones en forma
periódica,mantener su registro y comunicarlos institucionalmente.
1.6 Se deberá efectuar la comunicación oportuna de las Lecciones aprendidas en este proceso.
1.7 Se deberán incluir las actividades necesarias para asegurar que se cubran los
requerimientosespecificados en la política de seguridad de la Institución.
1.8 El Programa de calidad deberá incluir las actividades necesarias para asegurar la verificación y
validación de los productos y procesos, así como la participación de los servidores públicos de
la UTIC y de las herramientas necesarias para la ejecución de las actividades.
1.9 El Programa de calidad deberá estar incluido en Documento de planeación del proyecto/fase, y
se deberá asegurar que se éste se integre con otros elementos, proyectos o sistemas
enoperación.
1.10 Todos los resultados obtenidos en las verificaciones y validaciones deberán estar almacenadas
y ser comunicadas a los involucrados.
1.12 La evaluación de este proceso, se deberá realizar de acuerdo a lo establecido en el proceso de
Administración de la evaluación de TIC.
1.13 Los roles y responsabilidades de este proceso se definirán mediante el proceso
5.8 TRANSICION Y ENTREGA
5.8.1 Administración de cambios

General:
Lograr una integración eficiente, segura y oportuna de los cambios que modifican el ambiente
operativomediante la definición y establecimiento de los métodos, procedimientos y estándares necesarios.
Específicos:
1. Contar con procedimientos que permitan que los cambios solicitados por los diversos interesados sean
resueltos con satisfacción y sin poner en riesgo los servicios existentes.
2. Contar con mecanismos para que la información relacionada con los cambios se documente para
sumedición y comunicación.
ACMB-1 Establecer un punto único de gestión de solicitudes de cambio
Descripción Se debe establecer un punto único a través del cual se administre el ciclo de vida de
lassolicitudes de cambio, que permita su seguimiento y control.
Factorescríticos El Administrador del proceso de Administración de cambio, conjuntamente con

elAdministrador de cambios, deberán:
1. Establecer el punto central para la administración de cambios y realizar la difusión del
mismo entre los involucrados, incluidos aquellos que tendrán el rol de solicitante del
cambio, con el propósito de minimizar la probabilidad de conflictos entre cambios, que
derive en una posible afectación al ambiente operativo.
 En caso de que se decida que el punto central para gestionar los cambios seadiferente al de
la mesa de servicios, deberá generarse la interfase de trabajoentre ambos, para lograr
consistencia y comunicación en las actividades deambos procesos.
2. Definir a través de que medios de comunicación se efectuará la difusión de
laadministración de cambios.
3. Definir los criterios para seleccionar la herramienta de software para el proceso
deAdministración de cambios, que permita la recepción y gestión de la solicitud decambio.
4. Establecer la interfaz del punto central para cambios, con los procesos y funcionescon los
que se relacione la administración de cambios.
Relación de Anexo 17, Formato 1 "Criterios de selección de la herramienta de software para el proceso
productos de Administración de cambios"
Anexo 17, Formato 2 "Descripción del punto único de gestión de solicitudes decambio"
ACMB-2 Definir el mecanismo de gestión de la solicitud, evaluación y atención del cambio

Descripción Establecer el mecanismo mediante el cual se realizará la solicitud de modificación de
unelemento del entorno operativo actual, así como establecer qué información se
requeriráintegrar a dicha solicitud para su gestión.
1. Definir los datos mínimos que se requieren de las unidades responsables y usuarios,así
como de los servidores públicos de la propia UTIC, que por las actividades de losprocesos
en los cuales intervienen requieran solicitar algún tipo de cambio.
2. Establecer un control para asegurar que en la solicitud de cambio se identifiquen
losriesgos potenciales derivados del cambio, incluyendo tanto riesgos de tipo técnicocomo
funcionales.
3. Establecer un identificador único por cada solicitud de cambios, para evitar laduplicidad de
los mismos y facilitar su monitoreo.
4. En caso de tratarse de un cambio derivado de un incidente, problema o iniciativa,incluidas
la de mejora, referir el identificador de esos otros registros.
5. Procurar que la solicitud incluya una ventana de tiempo del cambio, en la que seconsidere
el tiempo que demandará aplicar todas las actividades, cuando seapertinente.
6. Definir y comunicar las autorizaciones con las que deberán contar las
unidadesresponsables y usuarios, así como los servidores públicos de la propia
UTICsolicitantes del cambio para hacer su solicitud, cuando así aplique.
7. Solicitar que se enlisten, en el Repositorio o inventario de los elementos del
ambienteproductivo, los elementos que serán impactados directa o indirectamente por
elcambio.
8. Establecer la documentación mínima que se requerirá para soportar la solicitud decambio.
9. Definir qué documentación será la mínima requerida para solicitar un cambio
deemergencia.
10. Determinar qué documentación sería opcional para ciertos tipos de cambio.
11. Definir los tipos de cambio posibles, para la clasificación de las solicitudes de cambio, se
deberá considerar al menos los tres tipos siguientes:
 Cambio de rutina.
 Cambio normal.
 Cambio de emergencia.
12. Desarrollar un procedimiento en particular para cada tipo de cambio.
13. Establecer un mecanismo para diferenciar aquellos cambios que resultan de unincidente o
problema, de los que derivan con motivo de una mejora.
14. Definir durante el diseño del proceso de Administración de cambios, los estatus
quereflejen los diferentes estados por los que puede pasar un cambio.
15. Los estatus del cambio deberán estar disponibles para su uso en la herramienta
desoftware del proceso y deberán ser susceptibles de cambiar conforme se requiera.
16. Definir las reglas que aplicarán para el cambio de estatus de un registro de cambio en la
herramienta de software.
17. Deberán considerarse, para resolver los cambios, al menos los cuatro tipos deprioridad
siguientes:
 Baja.
 Normal.
 Alta.
 Urgente.
18. Definir los niveles que se necesitarán para categorizar los cambios.
19. Definir las categorías de cambio que se prevé puedan abarcar la mayor parte de
losposibles tipos de cambio, considerando su naturaleza.
20. Las categorías de los cambios deberán describir el rubro afectado, tales como:procesos,
hardware, software, aplicaciones.
21. Las subcategorías deberán estar relacionadas con la categoría del nivel anterior yrefieren
el detalle de ese nivel.
Relación  Anexo 17, Formato 3 "Mecanismos de gestión por tipo de cambio"
deproductos
 Anexo 17, Formato 4 "Catálogo de categorías del cambio"
 Anexo 17, Formato 5 "Catálogo de estatus de cambio"
 Repositorio o inventario de los elementos del ambiente productivo
ACMB-3 Definir los equipos responsables de evaluar y ejecutar el cambio
Descripción Definir los equipos responsables de evaluar y ejecutar los cambios que se autoricen,
conbase en el origen, complejidad y alcance de los cambios que se presentan

1. Identificar dentro de la UTIC a los especialistas para la evaluación y ejecución decambios.
2. Registrar en la herramienta de software para el proceso de Administración de cambios a
los especialistas identificados.
Relación de  Anexo 17, Formato 6 "Relación de especialistas para la evaluación y ejecución de cambios"
productos
ACMB-4 Registro y clasificación de la solicitud de cambio
Descripción Efectuar el registro de la solicitud del cambio y determinar su impacto, la urgencia

y prioridad respecto a otros cambios y la ruta que se seguirá para su evaluación.
Factorescríticos El Administrador de cambio deberá:
1. Recibir la solicitud de cambio por los canales de comunicación establecidos para este fin.
2. Validar que la solicitud de cambio se entregó en el formato que se haya definido conese
propósito, para lo cual:
 Verificará que la solicitud contenga el detalle del cambio.
 Verificará que contenga la justificación de la solicitud de cambio, en términos debeneficios
para la Institución.
3. Rechazar las solicitudes de cambios incompletos.
4. Validar que el solicitante del cambio esté autorizado para requerirlo.
5. Contar preferentemente con una herramienta de software que permita capturar en
unregistro electrónico, la información prevista en la solicitud de cambio.
6. Clasificar y registrar la solicitud de cambio con base en la información prevista en
elformato y la documentación de soporte adjunta, tomando en cuenta los tipos deprioridad
descrito en la actividad ACMB-1.
7. Generar las órdenes de trabajo para la evaluación del cambio, cuando por el tipo
decambio así se requiera.
Toda la información que se genera en esta actividad actualizará el Repositorio
de solicitudes de cambio.
Relación de  Anexo 17, Formato 7 "Solicitud de cambio" (registrada y clasificada)

productos
 Anexo 17, Formato 8 "Orden de trabajo para la evaluación del cambio"
 Repositorio de solicitudes de cambio
ACMB-5 Evaluación y coordinación del cambio
Descripción Efectuar la evaluación de la solicitud del cambio y coordinar a los involucrados para
suejecución, debiendo establecer el programa asociado al cambio solicitado.
Factorescríticos Los Especialistas responsables de ejecutar el cambio deberán:
1. Considerar para la evaluación lo siguiente:
 Solicitante del cambio.
 Justificación del cambio.
 Beneficios del cambio.
 Riesgos asociados al cambio.
 Recursos que se requieren para realizar el cambio.
 Responsables de la ejecución prueba e implementación del cambio.
 Relación de este cambio con otros previos.
 Tipo de cambio y prioridad del cambio.
2. Efectuar la evaluación del cambio.
Excepcionalmente, se efectuará una segunda evaluación que será realizada por elGrupo
de trabajo asesor de cambios y/o Grupo de trabajo asesor de cambios deemergencia y el
Administrador de cambios, esta evaluación tendrá que ser agendadade acuerdo a la
disponibilidad de estos grupos.
Se deberán establecer los grupos de trabajo mencionados en el párrafo anterior,integrado
por diversos servidores públicos de la UTIC.
3. Definir y categorizar el riesgo implícito en el cambio.
4. Determinar si la prioridad o categoría del cambio necesitan ser actualizados.
5. Definir los programas asociados al cambio, con base en el resultado de la evaluación y su
autorización,
6. Coordinar las actividades para que los Especialistas responsables de ejecutar elcambio lo
programen.
7. Actualizar y compartir el calendario de cambios con los involucrados en el cambio.
8. Documentar todas las actividades realizadas en el registro del cambio.
9. Generar, cuando sea aprobado el cambio, las órdenes de trabajo para su ejecución.
Relación de  Anexo 17, Formato 9 "Solicitud del cambio evaluada"
productos
 Anexo 17, Formato 10 "Agenda de evaluaciones extraordinarias"
 Anexo 17, Formato 11 "Programas actualizados asociados al cambio"
 Anexo 17, Formato 12 "Calendario de cambios"
 Anexo 17, Formato 13 "Ordenes de trabajo para ejecución del cambio"
ACMB-6 Canalización de la solicitud de cambio
Descripción Efectuar la canalización de la solicitud de cambio y su orden de trabajo dependiendo de

sutipo, así como de su prioridad y categoría, la solicitud se dirige la actividad que
aplique,según el procedimiento que corresponda.
Factorescríticos El Administrador de cambios y los Especialistas responsables del cambio deberán de:
1. Determinar qué procedimiento aplica para el tratamiento de la solicitud, con base en el
tipo, prioridad y categoría,.
2. Canalizar la solicitud de cambio y su orden de trabajo a la actividad que
corresponda,según el procedimiento.
3. Documentar todas las actividades realizadas en el registro del cambio.
4. Dar seguimiento al avance del cambio.
Relación de  Anexo 17, Formato 14 "Solicitud de cambio canalizada"
productos
 Anexo 17, Formato 15 "Ordenes de trabajo"
ACMB-7 Pruebas previas y posteriores al cambio
Descripción Ejecución de pruebas previas a la implantación del cambio, y de pruebas una

vez implantado en mismo.
Factorescríticos Los especialistas responsables de ejecutar el cambio, con el apoyo de el Administrador
decambios, deberán:
1. El Programa de pruebas y su ejecución son obligatorios para cualquier tipo de cambio.
2. Incluir, todo cambio, al Programa de retorno, a través del cual será posible regresar el
entorno a su estado original.
3. Ejecutar el Programa de pruebas previas a la implementación al cambio, de no
serexitosas, aplicar el Programa de retorno y documentar todas las actividadesrealizadas,
en el Registro del cambio.
4. Ejecutar el Programa de pruebas posteriores a la implementación del cambio, de no ser
exitosas, aplicar el Programa de retorno y documentar todas las actividadesrealizadas, en
el Registro del cambio.
5. Adecuar, para los cambios de emergencia, la requisición de pruebas, con el propósito de
que se realicen de acuerdo al tiempo y necesidad que plantee el escenario que se
experimente en la operación.
6. Verificación del cambio efectuado y sus resultados con el fin de obtener la aceptaciónde
éste por parte de todos los involucrados.
7. Registrar la información detallada e inmediata acerca de la solicitud del cambio y
losresultados de ésta como un elemento de configuración, de acuerdo con el proceso de
Administración de la configuración.
Relación de  Anexo 17, Formato 16 "Solicitud de cambio (exitoso o fallido)"

productos
 Anexo 17, Formato 17 "Programa de pruebas"
 Anexo 17, Formato 18 "Registro de pruebas previas y posteriores,
incluyendodocumentación de soporte"
 Anexo 17, Formato 19 "Aceptación de resultados del cambio"
ACMB-8 Revisión y cierre del cambio
Descripción Revisar y valorar los resultados del cambio efectuado.

Factorescríticos El Administrador de cambios, con el apoyo de los Especialistas responsables de
ejecutar el cambio, deberán
1. Considerar para la revisión y valoración lo siguiente:
El cumplimiento de los objetivos.
La percepción de los usuarios respecto al cambio.
Averiguar si se utilizaron los programas de retorno en alguna fase del proceso.
Si las actividades realizadas en el cambio se hicieron conforme a lo planeado o si se
presentó alguna desviación importante que haya derivado en un riesgo para el ambiente
operativo o para el cambio mismo, o haya resultado en la falla del cambio.
2. Confirmar si el cambio logró su objetivo.
3. Verificar con el representante de los involucrados si surgieron incidentes o problemas, a
partir de la aplicación del cambio.
4. Medir la satisfacción del solicitante del cambio y demás involucrados, respecto a
laejecución del cambio y a los resultados logrados.
Obtener el visto bueno de todos los involucrados para el cierre del cambio.
5. Documentar todas las actividades realizadas, en el registro del cambio.
6. La evaluación del rendimiento del proceso se efectuará mediante el proceso
Toda la información generada en esta actividad deberá integrarse al Repositorio
desolicitudes de cambio y actualizarse.
Relación de  Anexo 17, Formato 20 "Solicitud de cambio cerrada"

productos
Rol Descripción
 Establece un punto único de gestión de solicitudes de cambio.
Administrador
de cambios
 Define el procedimiento de solicitud y evaluación del cambio.
 Define los Responsables de evaluar y ejecutar el cambio.
 Coordina del registro y solicitud de cambio.
 Canaliza la solicitud de cambio.
 Apoya en las pruebas previas y posteriores al cambio.
 Efectúa el cierre del cambio.
Grupo de  Evalúa y coordina cambios excepcionales.
trabajo asesor
de cambios
Grupo de  Evalúa y coordina cambios excepcionales.

trabajo
cambios de
emergencia
 Efectúa la solicitud del cambio y aprueba el cambio efectuado.

Solicitante del
cambio
 Apoyan en la evaluación y coordinación del cambio.

Especialistas
responsables
 Apoyan en la canalización de la solicitud del cambio.
de ejecutar el
cambio  Efectúan las pruebas previas y posteriores del cambio.
5.8.1.3 Indicadores
Frecuencia
de cálculo
Eficiencia en Conocer la Obtener la Eficacia De % de eficiencia= Administrador Semestral

las solicitudes eficiencia en la medición de la gestión (Número de del proceso
de cambios atención a las eficiencia del cambios exitosos) /
solicitudes de proceso por (total de cambios
cambio medio del ejecutados) X 100
número de
cambios
exitosos y su
relación con el
total de
cambios
ejecutados

UTIC, los roles que deberán desempeñar en este proceso, así como al Responsable de
la administración de este proceso.
1.2 Todo cambio que esté dentro del alcance del proceso de Administración de cambios, deberá
sergestionado desde su inicio hasta su implementación, mediante el proceso de Administración
decambios.
1.3 Los involucrados en el proceso de Administración de cambios cumplirán con las
actividadesestablecidas en dicho proceso.
1.4 Los involucrados en este proceso procurarán que la totalidad de las solicitudes de cambio
que se ingresen al proceso reúnan los requisitos mínimos necesarios para asegurar su control.
1.8 Todo cambio deberá ser justificado, registrado, clasificado, monitoreado, evaluado,
priorizado,planeado, probado y documentado, así como revisado y evaluado después de
su implementación.
1.9 Los cambios de emergencia responden exclusivamente a un incidente "crítico o
inesperado" queproduce interrupciones en el servicio o si existe algún riesgo de que el usuario
no pueda realizarsus actividades. Deberá contar con la documentación asociada a posteriori.
1.10 Los involucrados en este procesos procurarán que los controles y niveles de accesoestablecidos
eviten que personal no autorizado realice cambios en el ambiente productivo.
1.11 Se deberán diseñar, generar y evaluar regularmente métricas de rendimiento, a través de
lascuales se pueda identificar la efectividad y eficiencia del proceso, con fines de verificación
ymejora.
1.12 Los cambios que fallen durante su ejecución, deberán ser documentados y cerrados y dar inicioa
una nueva solicitud de cambio cuando se decida intentar de nuevo el cambio.
1.13 Todo cambio deberá contar con un programa de regreso que permita la recuperación de
la última configuración estable antes del inicio de la ejecución del cambio.
5.8.2 Liberación y entrega

General:
Establecer los mecanismos mediante los cuales la solución tecnológica o servicio que se entregue para
supuesta en operación cumpla con los requerimientos técnicos necesarios.
Específicos:
1. Procurar que el paquete de liberación de una solución tecnológica o servicio sea construido, instalado,
probado y desplegado eficientemente en el ambiente de implementación de manera oportuna y exitosa.
2. Propiciar que los paquetes de liberación sean rastreados, verificados, desinstalados y
respaldadoságilmente para responder oportunamente a cambios o eventos inesperados.
3. Procurar que los paquetes de liberación y los componentes que los constituyen, sean registrados total y
correctamente en la bases de datos de configuraciones, para que los involucrados garanticen el
mantenimiento, la continuidad y la disponibilidad del servicio.
LE-1 Establecer criterios para la creación de unidades y paquetes de liberación
Descripción Definir los niveles que se emplearán como unidad de liberación, de acuerdo con
laconveniencia y necesidades de la Institución, así como de los recursos que se
puedandestinar para su administración.
Factorescríticos El Responsable de la construcción del paquete de liberación deberá:

1. Identificar, definir y considerar los tipos de unidades de liberación.
La unidad de liberación puede variar dependiendo de los tipos o elementos de losactivos
de servicio o componentes, tales como hardware y software.
2. Decidir el nivel de detalle o granularidad de la unidad de liberación, considerando que la
complejidad y efectividad de las actualizaciones subsecuentes, estarán directamente
relacionadas con el nivel que se decida.
3. Considerar el costo y facilidad de liberar, actualizar y retirar la unidad de liberación
enrelación a su tamaño y complejidad de la propia unidad de liberación y los
elementoscon los que se relaciona.
Los costos y el tiempo necesario para construir, distribuir y probar la unidad deliberación,
dependerá del tipo, tamaño y complejidad de la propia unidad y loselementos con los que
se relaciona.
4. Procurar que los elementos se puedan construir y probar en paralelo e integrar en unsolo
paquete de liberación.
5. Decidir entre la unidad de liberación propuesta u otras unidades, el paquete deliberación,
los servicios de TIC y la infraestructura, tomando en cuenta la complejidadde las
interfases que existirán.
6. Constatar que el paquete de liberación consista de activos y componentes compatibles
entre sí.
7. Revisar que puede construirse, instalarse y probarse el paquete de liberación.
8. Verificar interdependencias entre las unidades de liberación que conforman el paquete de
liberación, así como el paquete en cuestión y otros paquetes de liberación.
El paquete de liberación debe ser diseñado de tal forma que algunas unidades
deliberación puedan ser removidas si causan fallas durante su prueba u operación.
Relación de  Anexo 18, Formato 1 "Criterios de definición de unidades de liberación"
productos
 Anexo 18, Formato 2 "Criterios de definición de paquetes de liberación"
LE-2 Identificar individualmente las versiones
Descripción Identificar individualmente y de manera única las versiones de las unidades y paquetes
deliberación.
1. Establecer reglas para la identificación de las unidades y paquetes de liberación.
Dicha identificación debe incluir una referencia al elemento de configuración
querepresenta, así como un número de versión de la unidad y paquetes de liberación, que
normalmente se compone de varias partes que indican el nivel e importancia de esa
versión en particular
2. El identificador de la versión de la unidad y paquetes de liberación deberá incluir
unareferencia al elemento de configuración que representa y el número de versión.
3. Procurar el uso de un sistema para administrar las versiones de las unidades ypaquetes
de liberación.
Relación de  Anexo 18, Formato 3 "Nomenclatura para identificación de versiones"
productos
 Anexo 18, Formato 4 "Guía de identificación de versiones"
LE-3 Elegir la opción de liberación más conveniente
Descripción Elegir el método más adecuado de liberación, considerando las ventajas así como
losriesgos, y dependiendo del tipo, volumen, número de ubicaciones y complejidad de
laliberación que se vaya a realizar.
1. Elaborar métodos para el despliegue del paquete de liberación, los cuales consideran lo
siguiente:
 El diseño y uso de los diversos métodos de despliegue, la infraestructura yrecursos con los
que se cuenta; cada método de liberación debe contar conprocedimientos, riesgos y
complejidad diferentes en distintos tiempos de laliberación.
 El diseño y uso de los diversos de despliegue, las características críticas de lasolución
tecnológica y su alcance se clasificarán conforme a lo siguiente:
- Liberación masiva: sólo si el riesgo y recursos demandados son bajos,cuando sea rutinario
o si la liberación es emergente.
- Liberación por fases: cuando el riesgo sea admisible y se necesite realizarcomprobaciones
antes de una liberación masiva o cuando se necesiteafinar el procedimiento.
- Liberación obligatoria: cuando se requiera forzar el paso a producción de la liberación.
- Liberación de acceso voluntario: cuando se pueda centralizar elalmacenamiento de la
liberación y se quiera dar la opción de elegir elmomento del despliegue al usuario.
- Liberación automática: que permita lograr repetitividad y consistencia, previo a verificar la
compatibilidad del elemento destino para recibir la liberación, seleccionar la población,
destino específico e incluso automatizar mediante calendario, hacer el despliegue con el
mínimo de intervención humana.
2. Considerar la tolerancia e impacto de errores de la liberación en la Institución, cuando se
escoja un método de liberación manual.
3. Justificar y aprobar el método de liberación que se elija para cada paquete deliberación y
comunicarlo a los involucrados interesados.
Relación de  Anexo 18, Formato 5 "Documento de método de liberación y entrega"

productos
LE-4 Desarrollar el Programa de liberación y entrega
Descripción Desarrollar el Programa de liberación y entrega.

Factorescríticos El Responsable de la implantación del paquete de liberación deberá:
1. Describir en el Programa de liberación y entrega las de la funcionalidad del sistema que
serán desplegadas en las liberaciones.
El Programa referido, se compone a su vez de otros programas, tales como:
- Programa para construir y probar previo a liberar en producción.
- Programa de pilotos.
- Programa del despliegue.
- Programa de logística y entrega.
2. Validar el Programa de liberación y entrega contra los programas que tenga la UTIC,con
los que pudiera tener un conflicto o debiera coordinarse, definiendo el criterio depase o
falla de la liberación.
3. Acordar y compartir el Programa de liberación y entrega con las unidadesresponsables de
servicios que pudieran resultar afectados de tal forma que éstapueda realizar acciones
preventivas.
4. Autorizar, mediante el proceso de Administración de cambios, la ejecución de
lasactividades del Programa de liberación y entrega que pudieran afectar el
ambienteproductivo.
5. Definir, de ser el caso, el programa piloto determinando su tiempo de
duración,participantes, recursos de soporte, entre otros.
Relación de  Anexo 18, Formato 6, "Programa de liberación y entrega"

productos
 Repositorio de configuraciones
LE-5 Ejecutar el Programa de liberación y entrega
Descripción Ejecución de las actividades del Programa de liberación y entrega.

Factorescríticos El Administrador de liberación y entrega, con el apoyo del Responsable de
la implementación del paquete de liberación, deberá:
1. Construir el paquete de liberación, para lo cual deberán considerar:
 Determinar el ambiente que se necesita para construir las liberaciones.
 Definir los procedimientos, metodologías, herramientas y lista de verificación que deberían
aplicarse para asegurar que el paquete de liberación sea construido de manera estándar,
controlada y replicable.
 Hacer uso de modelos y metodologías especializadas para la gestión de lasactividades de
construcción.
 Asegurar que las actividades de construcción, así como el ambiente, cumplen con las reglas
y regulaciones, incluyendo las de seguridad de la información.
 Los avances en la construcción y pruebas deberán registrarse.
 Probar los elementos que compondrán la liberación
 Empaquetar las liberaciones considerando el modelo y definición de los paquetes y
unidades de liberación.
 Programar las actividades de transición a la operación: transferencia deresponsabilidad de
recursos e instalaciones.
 Establecer las actividades para la entrega de la documentación y la experiencia a la
operación, mediante el proceso de Administración del conocimiento.
 Identificar la necesidad y solicitar la autorización de operar en dos ambientescuando exista
una liberación por fases.
 Documentar la construcción y liberación.
2. Efectuar pruebas del paquete de liberación, para lo cual considerarán:
 Determinar el ambiente necesario para probar las liberaciones, procurando que sea lo más
similar posible al ambiente productivo en el que se realizará la liberación.
 Constatar que las actividades de prueba, así como el ambiente, cumplen con las reglas y
regulaciones, incluyendo las de seguridad de la información.
 Establecer controles y procedimientos para medir el impacto de la liberación en el ambiente,
una vez que se haya desplegado.
 Integrar actividades mediante las cuales se verifique que tanto el ambiente, como los
servicios y usuarios afectados por la liberación, estén listos para recibir la liberación.
 Lograr un balance entre los recursos a usar en las pruebas y los beneficios que se
derivarán.
3. Establecer el soporte temprano, para lo cual:
 Contarán con un programa de la operación del paquete con los recursos y laaplicación de
las experiencias generadas durante la construcción y la liberación.
 Delimitar el alcance y duración del soporte temprano
Relación Anexo 18, Formato 7 "Paquete de liberación entregado a ambiente productivo"

deproductos
LE-6 Realizar pruebas del servicio

Descripción Verificar que el servicio y ambiente sobre el que se realiza la liberación y la entrega
final,recibe de facto los beneficios esperados que originaron el cambio y la liberación, con
unimpacto limitado en caso de surgir alguna situación negativa inesperada.
Factorescríticos El Administrador de liberación y entrega deberá:
1. Verificar que la integridad de los paquetes de liberación se haya mantenido durante las
actividades de liberación y se registre en el Repositorio de configuraciones.
2. Validar que una vez liberado el paquete, el servicio en el que participa cumple con los
niveles de servicio.
3. Identificar si hay impacto no previsto en el ambiente, que se manifieste en forma
deincidentes o problemas.
4. Verificar que el servicio se puede usar como se esperaba.
5. Probar los servicios y/o componentes dependientes o afectados directa eindirectamente
por la liberación.
6. Buscar sinergias en los programas pilotos, considerando que pueden demandartiempo y
productividad de los usuarios.
7. Reportar el avance y resultados de las pruebas sobre las liberaciones.
8. Verificar y reportar si la liberación se cumplió dentro del tiempo y costo previstos.
9. Confirmar que el monto de incidentes y problemas que pudieran derivarse de laliberación
sean aceptables por la Institución y los usuarios.
Relación de  Anexo 18, Formato 8 "Resultado de las pruebas del servicio"
productos
 Anexo 18, Formato 9 "Reporte de entrega"
Rol Descripción
Responsable de Desarrolla programas de liberación y entrega.
la
implementación
del paquete de
liberación
Responsable de Establece criterios para la creación de unidades y paquetes para la liberación.
la construcción
del paquete de Identifica individualmente las versiones de las unidades y paquetes de liberación.
liberación  Elige la opción de liberación más conveniente.
AdministradordeEjecuta el programa de liberación y entrega.

liberación y
entrega  Realiza pruebas del servicio.
5.8.2.3 Indicadores
Frecuencia
de cálculo
Eficiencia en Conocer los Obtención de Eficiencia De gestión % de Administrador Semestral

el proceso de resultados del la relación de eficiencia= del proceso
liberación y proceso paquetes de (Número de
entrega mediante la liberación paquetes de
medición de su entregados en liberación
eficiencia. tiempo y forma registrados en
y las tiempo y forma
solicitudes en la CMDB /
programadas Total de
de paquetes de
construcción liberación
de los solicitados) X
paquetes de 100
liberación
UTIC, para que desempeñen los roles que establecen en este proceso, así como al Responsable
de laadministración de este proceso.
1.2 La UTIC deberá garantizar que toda liberación de soluciones tecnológicas o hardware
seagestionada mediante el proceso de Administración de cambios, sin excepción.
1.3 Toda liberación e implementación de soluciones tecnológicas o hardware, deberá ser

finalmenteregistrada en la Repositorio de configuraciones.
1.4 Los procedimientos y reglas que apliquen para el proceso, serán definidos, documentados
yaprobados por la administración del ambiente productivo, quien se asegurará que
seancomunicados a través de la UTIC, a todos los proveedores del proceso.
1.5 Los procedimientos y reglas que apliquen para el proceso, deberán estar alineados al marco
degobierno que impere en la administración de servicios y en la Institución.
1.6 Toda no conformidad con alguna política del proceso, debe ser investigada,
documentada,reportada y corregida.
1.7 El proceso de Liberación y entrega deberá alinearse a los procesos y sistemas de la

Institucióncon el fin de mejorar la eficiencia y efectividad.
1.8 El proceso de Liberación y entrega deberá ser regido con un enfoque de uso de la
información,procedimientos y soluciones tecnológicas ya existentes.
1.9 Procedimientos automáticos repetitivos deberán ser desarrollados para incrementar la

eficiencia y eficacia de las actividades clave del proceso, tales como distribución e instalación.


1.13 La UTIC deberá realizar pruebas del software, sistema o aplicativo a liberar, incluyendo
pruebasindividuales, de estrés, de volumen, integrales, de regresión, antes de liberar una versión
aproducción.
1.14 La UTIC deberá garantizar la liberación de la versión final de las soluciones

tecnológicas, evitando la exposición del código de lectura o escritura a los usuarios y de ser el
caso, hacia Internet.
1.15 La UTIC deberá asegurar y mantener evidencia de la realización de las pruebas

efectuadas,previas a la liberación, a las configuraciones del sistema, incluyendo sistema
operativo, controlesde seguridad, bases de datos y cualquier componente que interactúe con el
software a liberar.
1.16 No está permitido el uso de datos de producción, para el uso de pruebas en el desarrollo de
lassoluciones tecnológicas; si fuera necesario, debe estar autorizado por los responsables de
losactivos de información y hacerlos del conocimiento al Grupo de desarrollo de las
solucionestecnológicas y al Responsable del proceso de Administración de cambios.
1.17 La UTIC deberá asegurar y mantener evidencia de la eliminación definitiva de todos los datos
depruebas, usuarios y privilegios creados, contraseñas, y de cualquier otra información de
pruebaantes de efectuar una liberación.
1.18 La UTIC deberá asegurar y mantener evidencia la verificación del código antes de ser liberado
através de herramientas especializadas, para identificar potenciales vulnerabilidades.
1.19 La UTIC deberá asegurar y mantener evidencia de la aprobación de liberación incluyendo la

de las áreas usuarias, del responsable del equipo de desarrollo y del responsable del
centro de datos.
1.20 La UTIC deberá asegurar y mantener evidencia de haber etiquetado la versión definitiva que
selibera y actualizando el Repositorio de configuraciones de acuerdo al proceso
correspondiente,respaldado y resguardado todos los componentes del paquete de liberación.
5.8.3. Transición y habilitación de la operación
General:
Establecer un mecanismo que permita monitorear y controlar los proyectos de transición a la operación
ysoporte, a fin de evitar riesgos, fracasos o interrupción de los servicios de TIC.
Específicos:
1. Asegurar que se elaboren y comuniquen los proyectos de transición de la operación y soporte de
lasolución tecnológica y que en los mismos estén integrados los requerimientos originales de diseño del
servicio y operación.
2. Identificar y realizar los ajustes necesarios en la solución tecnológica o el elemento de TIC, previamente a
la puesta en operación.
3. Constatar que la transición de la operación y soporte de la solución tecnológica de TIC cumpla con los
tiempos y costo previstos y con la calidad esperada.
4. Transferir la información y conocimiento necesarios para operar la solución tecnológica.
THO-1 Programar la transición a la operación y soporte
Descripción Elaborar el Programa del proyecto de transición a la operación y soporte.

Factorescríticos El Administrador de la transición del servicio deberá:
1. Asegurar que se consideran integralmente los aspectos entregados por el proceso de
Diseño de servicios de TIC, así como lo acordado en la línea base de los criterios de
aceptación del servicio de TIC, para iniciar la transición.
2. Asegurar que se tiene documentada y formalizada, la autorización para iniciar latransición
del servicio de TIC.
3. Elaborar el Programa de proyecto de transición a la operación y soporte.
 Identificar el alcance, identificar y solicitar los elementos necesarios para suoperación.
 Verificar que a cada involucrado, se le provee del entendimiento y ladocumentación
suficiente, sobre su rol y responsabilidad en cada fase de latransición, particularmente
durante las pruebas de aceptación de usuario.
 Promover que se integre un mecanismo formal de comunicación sobre el avance y los
resultados de las pruebas de aceptación de usuario.
 Considerar los riesgos de fracaso e interrupción en las actividades de transición.
 Considerar las actividades en curso relacionadas con otros proyectos y aquellas en las que
participen proveedores, por medio de los procesos de Administración de proyectos de
TIC, y de Administración de proveedores de productos y servicios de TIC.
4. Definir procedimientos estándar para la implementación y estabilización de la operación
que asegure que la transición es correcta y que el servicio entregado se puede usar de
acuerdo a las especificaciones requeridas.
Relación de  Anexo 19 Formato 1 "Programa de proyecto de transición a la operación y soporte"

productos
 Criterios de aceptación del servicio revisados
THO-2 Establecer controles para verificar el valor del servicio
Descripción Establecer controles adecuados para identificar que la transición (cambio) del
servicionuevo o modificado, efectivamente provee el valor que la Institución requiere, bajo
lostérminos establecidos.
Factorescríticos El Administrador de la transición del servicio deberá de:

1. Involucrar directamente al usuario para las pruebas finales de aceptación de la entrega y
medición de los resultados en comparación con los niveles de servicio esperados (SLA)
esperados.
2. Procurar que el grupo de trabajo asignado, conozca la totalidad de los requerimientosde
nivel de servicio y de los Criterios de aceptación del servicio, así como de lospuntos o
hitos de control dentro del Programa de transición del servicio.
3. Identificar y prever, partiendo de las especificaciones de diseño, la utilización de
loselementos de configuración y componentes, a fin de realizar pruebas con el grado
decalidad requerido para realizar la transición.
4. Establecer los controles que serán aplicados por los Grupos de verificación interna
oexterna para el servicio de TIC.
Relación de  Criterios de aceptación del servicio verificados

productos
 Programa de proyecto de transición a la operación y soporte
THO-3 Ejecutar el Programa de proyecto de transición a la operación y soporte
Descripción Asegurar que la transición del servicio nuevo o modificado se haga con apego a lo
previstoen el Programa de proyecto de transición a la operación y soporte acordado.
1. Elaborar el Programa de uso de recursos de TIC y ejecutarlo de acuerdo al Programa de
proyecto de transición a la operación y soporte.
2. Ejecutar y controlar el avance de cada proyecto de transición a la operación y soporte de
acuerdo al Programa de uso de recursos de TIC, por medio de sus hitos o puntos de
control.
3. Programar los cambios necesarios de una manera que asegure la integridad de losactivos
a medida que evolucionan en la transición a la operación y soporte.
4. Procurar que sean comunicados todos los asuntos de transición, operación, riesgos
ydesviaciones a los involucrados, para la toma de decisiones adecuadas.
Relación de  Programa de proyecto de transición a la operación (actualizado)
productos
 Anexo 19, Formato 2 "Programa de uso de recursos de TIC"
THO-4 Monitorear la transición a la operación y soporte
Descripción Monitorear y vigilar que la transición del servicio nuevo o modificado se efectúe con
apegoal Programa de proyecto de transición a la operación acordado.
1. Dar seguimiento a la transición a la operación y soporte, mediante los controles e hitos
definidos en la actividad THO-3.
2. Actualizar, en caso de ser necesario, los requerimientos de niveles de servicio,
comoresultado de las actividades de corrección a las desviaciones detectadas en
elmonitoreo.
3. Buscar la estandarización de prácticas y la automatización de actividades que
hayanprobado su efectividad y eficiencia.
4. Integrar los datos del monitoreo efectuado en un Informe del rendimiento del proyecto de
transición a la operación y soporte.
Relación de  Anexo 19, Formato 3 "Informe de rendimiento del proyecto de transición a la operación y
productos soporte"


Rol Descripción
Administrador Programar la transición a la operación y soporte.
dela transición
delservicio  Establecer controles para verificar el valor del servicio.
 Ejecutar y monitorear el Programa de proyecto de transición a la operación ysoporte.
5.8.3.3 Indicadores
Frecuencia
de cálculo
Eficiencia en el Medir la Conocer los Eficiencia De gestión % de eficiencia Administrador Semestral

proceso de eficiencia del resultados del =(Número de del proceso
transición y proceso en proceso transiciones de
puesta en base al número mediante la soluciones
operación. de transiciones relación entre tecnológicas a
de acuerdo a lo del número de la operación
planeado programas de con tiempo,
trabajo costo y calidad
concluidos en previstas/
tiempo y forma Número total
y el número de de transiciones
programas de de soluciones
trabajo tecnológicas a
ejecutados en la operación
un periodo efectuadas) X
determinado 100
de tiempo
UTIC,para que desempeñe el rol que se establece en este proceso, así como al Responsable de
laadministración del mismo.
1.2 Para toda transición a la operación y soporte, el Administrador del proceso de Transición a
laoperación, deberá nombrar un Responsable del Programa de proyecto de transición
a laoperación.
1.3 El Responsable del Programa de proyecto de transición a la operación deberá procurar que
lainformación recopilada durante la ejecución del mismo tenga como fuente directa a quien
hayasolicitado la transición.
1.7 Todos los cambios que se generen a partir del proyecto de transición a la operación y
soporte,deberán hacerse mediante el proceso de Administración de cambios.
1.8 La adición, remoción o modificación de elementos de configuración relacionados con
lasactividades de transición a la operación y soporte, deberán ser reportadas en el proceso
deAdministración de la configuración.
5.8.4 Administración de la configuración
General:
Mantener actualizada y disponible la información funcional y técnica relativa a las soluciones
tecnológicas,los entornos de pruebas, de calidad, de pre-operación y de operación para hacer eficiente la
ejecución delos procesos cuya operación requiera acceder a los datos de configuraciones, versiones y
característicasde los servicios.
Específicos:
1. Identificar, registrar, controlar y verificar los datos de las soluciones tecnológicas, los entornos depruebas,
de calidad, de pre-operación y de operación, incluyendo sus atributos, relaciones con otroselementos,
versiones, memorias técnicas de desarrollo y documentación relacionada.
2. Procurar que la información contenida en el Repositorio de configuración se mantenga actualizada
yaccesible a los usuarios involucrados, asociándoles permisos acorde a su función y a los procesosen que
intervienen.
ACNF-1 Establecer el alcance del proceso

Descripción Elaborar las definiciones del alcance necesario del proceso de Administración de
laconfiguración, de manera que contenga a la totalidad de los activos de TIC y
los principales elementos de configuración.
Factorescríticos El Administrador del proceso de Administración de la configuración deberá:

1. Determinar qué activos y elementos del ambiente actual y futuro, serán administrados por
el proceso de Administración de la configuración, con base en las necesidades de la UTIC
y considerando los recursos con los que cuenta.
2. Establecer un programa de alcance por fases considerando además de la criticidad de los
activos y elementos a gestionar, sus tipos, los servicios actuales y futuros, asícomo el
número de localidades, infraestructura y característica de las mismas.
3. Definir los objetivos específicos mediante el proceso de Administración deconfiguración,
así como los procedimientos que regirán al proceso y su Repositorio de configuración.
4. Seleccionar los elementos de configuración a los que se les constituirá una línea base.
5. Decidir si se incluyen dentro del alcance del proceso, ciertos activos y elementos
deconfiguración que pertenecen a proveedores.
6. Considerar la criticidad y participación de esos activos y elementos en los serviciosque se
proveen, para tomar esta decisión.
7. Cuidar el riesgo de falta de claridad y deficiente programación en el alcance de
esteproceso, que deriva del mal uso de los recursos y en que los resultados y valor
delproceso no sean los que requiere la Institución.
Toda la información generada en esta actividad será integrada al Documento de
definiciónde alcance del proceso.
Relación de  Anexo 20, Formato 1 "Documento de definición de alcance del proceso"

productos
ACNF-2 Definir e identificar los activos y elementos de configuración
Descripción Definir e identificar los activos y elementos de configuración, así como sus
estructuras, que se administrarán a través del proceso, estableciendo la estructura del
Repositorio deconfiguraciones.
Factorescríticos El Administrador de activos de servicios deberá:
1. Definir los atributos de los activos y elementos de configuración, que considerarán,entre
otros, el identificador único, el nombre, la descripción, los componentes, laubicación, la
línea base, el estatus, la versión, el rol responsable e histórico, así como los criterios de
relaciones con otros elementos y las clases y categorías que estarán disponibles para
clasificar y controlar los elementos.
La identificación de los activos y elementos de configuración se trata de una actividad
continua, principalmente después de la ejecución de proyectos de cambios, ordenes de
trabajo, liberaciones y transiciones a la operación.
2. Establecer las propiedades mínimas que conformarán la línea base de cada elemento y
activo que se integrará al proceso de Administración de la configuración.
3. Establecer un acuerdo respecto de la nomenclatura para los elementos y referir en
elnombre la versión, clase, grupo, tipo, asegurándose de que sea corto e ilustrativo.
4. Verificar que las nomenclaturas, datos y su estructura, así como los procedimientos de
recopilación, actualización y despliegue de información de la configuración, cumplan con
las disposiciones jurídicas aplicables.
5. Corregir, de ser necesario, las desviaciones identificadas en el punto anterior.
6. Usar, en la medida de lo posible, las definiciones, estructuras y códigos que
pudieranexistir en la Institución.
7. Utilizar, cuando sea posible, herramientas tecnológicas para la identificación
yactualización de elementos de configuración.
8. Decidir el procedimiento y formato de etiquetado de los elementos físicos, en términos de
las disposiciones jurídicas aplicables.
9. Desarrollar el modelo lógico del Repositorio de la configuración, en el que se describen las
relaciones y posición de un elemento de configuración en cada estructura definida.
Lo anterior, lo realizará partiendo de un modelo de la configuración que vaya de logeneral
a lo particular, esto es desde el elemento de configuración padre, hasta loscomponentes
del elemento de configuración descendiente.
Relación de  Anexo 20, Formato 2 "Definición de elementos de configuración"

productos
 Estructura del Repositorio de configuraciones
 Repositorio de conocimientos de dominios tecnológicos
ACNF-3 Definir las relaciones de los activos y elementos de configuración
Descripción Ubicar las relaciones entre los elementos de configuración para lograr un mapa
conceptualdel ambiente y para que esta información apoye la toma de decisiones.
Factorescríticos El Administrador de activos de servicios conjuntamente con el Administrador de la
CMDB,deberán
1. Definir las relaciones válidas y las reglas que regirán las tareas relacionadas con latoma
de decisiones.
2. Definir y estructurar las relaciones entre los elementos de configuración y también con
elementos de otros procesos y sistemas tales como: acuerdos de niveles de servicio,
roles, documentación, registros de incidentes, problemas, cambios y liberaciones, entre
otros.
3. Definir la dependencia entre los elementos y sus componentes.
4. Determinar qué tipo de relaciones son válidas desde el punto de vista de bases dedatos,
(uno a uno, uno a todos, todos a uno)
Relación de  Estructura de relaciones de elementos
productos
ACNF-4 Definir la línea base de los activos y elementos de configuración
Descripción Definir líneas base que permitan establecer la configuración oficial y autorizada de
unelemento de configuración, que servirá como punto de referencia para controlar
el ambiente operativo, así como para tener una base de copia de configuración y
de comparación, en caso de necesitarse replicar o verificar ese elemento.
Factorescríticos El Administrador del sistema de administración de la configuración CMS deberá:

1. Definir líneas base conforme a lo siguiente:
 Considerando inicialmente, que se fijen las líneas base de los elementos deconfiguración
críticos, y de manera incremental, abarcar la totalidad de las líneas base de los elementos
de configuración que se integrarán a al Repositorio de configuraciones.
 Mediante un identificador que tome en cuenta versiones.
 Acordar las líneas con los involucrados a efecto de que sean validadas tomando en cuenta
las necesidades de la Institución.
 Variar y adaptar las líneas conforme se necesite, tomando en cuenta que cualquier cambio
debe ser previamente autorizado y gestionado siguiendo el proceso de Administración de
cambios.
2. Mantener el histórico de todas las líneas base.
 Pueden existir diferentes líneas base que correspondan a diferentes etapas delelemento al
que pertenecen.
 Considerar que un elemento de configuración puede tener más de una línea base vigente.
Relación de  Estructura del Repositorio de configuraciones

productos
 Repositorio de configuraciones
ACNF-5 Definir los estados del activo de TIC o elemento de la configuración
Descripción Definir los estados que podrán usarse para identificar de manera exacta y clara
lacondición del elemento al momento de la consulta.
Factorescríticos El Administrador de la CMBD, con el apoyo del Administrador de activos de servicios y
elAnalista de la CMBD, deberán:
1. Definir el mecanismo de autorización para que un activo de TIC o elemento
deconfiguración pase de un estado a otro.
2. Contar con autorización para llevar a cabo cambios de estados de un activo de TIC
oelemento, de acuerdo al proceso de Administración de cambios.
Todo elemento de configuración debe referir, de manera correcta y actualizada, elestado
en que se encuentra el mismo.
3. Establecer que ningún dato de un activo de TIC o elemento de configuración retirado,sea
eliminado del Repositorio de configuraciones.
4. Establecer estados que indiquen una condición de "fuera de uso" y que inhabiliten suuso e
impidan que pueda ser relacionado con elementos activos.
5. Establecer identificadores de estados descriptivos y cortos, tales como:
 En desarrollo
 Borrador
 Aprobado
 Activo
 Suspendido
 Fuera de uso
Relación de  Anexo 20, Formato 3 "Catálogo de estados de elementos de configuración"
productos
 Criterios para el uso del estado de un elemento de configuración
ACNF-6 Ejecutar controles de la configuración
Descripción Programar y ejecutar controles sobre los activos de TIC y los elementos de
configuraciónpara mantener su consistencia y verificar que se encuentre actualizada.
Factorescríticos El Administrador del sistema de administración de la configuración CMS, con apoyo
delAdministrador del proceso de Administración de la configuración y el Analista de
la CMDB, deberán:
1. Generar un modelo de control de la configuración.
 Desarrollar un programa de control para cada herramienta que participe en este proceso de
tal forma que queden alineadas con el Modelo de control deconfiguración.
 Revisar que sólo aquellos elementos de la configuración autorizados eidentificados, sean
registrados al Repositorio de configuraciones.
 Constatar que cualquier modificación de un elemento de configuración que seincorpore en
el Repositorio de configuraciones, sea realizada siguiendo elproceso de Administración
de cambios.
Relación de  Modelo de control de la configuración

productos
ACNF-7 Verificar el Repositorio de configuraciones
Descripción Verificar que la información contenida en el Repositorio de configuraciones sea correcta.

Factorescríticos El Administrador del sistema de administración de la configuración CMS, con apoyo
delAdministrador del proceso de Administración de la configuración y el Analista de la
CMDB,deberán:
1. Efectuar verificaciones en el Repositorio de configuraciones después de laimplementación
de este proceso o después de la realización de un cambio mayor en el ambiente.
2. Establecer un programa de verificaciones, según sea requerido o se identifique
lanecesidad de hacerlo por alguna inconsistencia en el Repositorio de configuraciones.
3. Procurar que las actividades de verificación se lleven de acuerdo al proceso deOperación
del sistema de gestión y mejora de los procesos de la UTIC.
4. Verificar que toda integración o actualización de información relacionada con unelemento
de configuración, se llevó a cabo según los procedimientos establecidos eneste proceso.
5. Establecer verificaciones periódicas a la información del Repositorio deconfiguraciones
con el propósito de confirmar que la misma esté correcta respecto alambiente en
operación: Algunos de los aspectos a verificar son:
 Que las líneas base están siendo respetadas, según se establecieron.
 Comprobar que la documentación de liberaciones y de configuración sea correcta.
 Determinar si el estatus de los elementos de la configuración en el Repositorio de
configuraciones coinciden con los estados físicos que tienen en el ambienteoperativo.
 Confirmar que en el ambiente operativo, sólo se están usando elementos deconfiguración
autorizados y registrados en el Repositorio de configuraciones.
6. Investigar los hallazgos relacionados con elementos no registrados y no autorizados y
considerar acciones correctivas para tratar posibles fallas en procedimientos
ycomportamiento de los servidores públicos de la UTIC y de toda aquella
personaautorizada para acceder al Repositorio de configuraciones.
Cualquier herramienta, equipo de prueba, dispositivos u otro elemento no registradodebe
ser eliminado, o registrado a través del proceso de cambios.
7. Registrar e incorporar en el documento Reporte de resultados de verificación
delRepositorio de configuraciones, los resultados de las verificaciones, incluyendo
latotalidad de las excepciones encontradas (hallazgos y "no conformidades").
Relación de  Anexo 20, Formato 4 "Programa de verificaciones al Repositorio deconfiguraciones"

productos
 Anexo 20, Formato 5 "Reporte de resultados de verificaciones al Repositorio
deconfiguraciones"
ACNF-8 Desarrollar y controlar los almacenes y librerías en el Repositorio de configuraciones
Descripción Controlar los elementos utilizados para la entrega de servicios.

Factorescríticos El Administrador del proceso de Administración de la configuración, con apoyo
delAdministrador del la CMDB y el Analista de la CMDB, deberán:
1. Integrar o desarrollar los repositorios lógicos y físicos de configuraciones, talescomo:
 Librería segura.
 Librería definitiva de medios.
 Almacén seguro.
 Almacén de repuestos definitivos.
 Los demás repositorios que se precisan en el proceso de Administración de
laconfiguración.
2. Desarrollar mecanismos para la actualización de la información que se derive de los
repositorios arriba señalados,.
3. Establecer perfiles y permisos para el acceso a la información contenida en elRepositorio
de configuraciones.
4. Implementar controles para la seguridad de los repositorios lógicos y físicos, quedeberán
estar sujetos al proceso de Administración de Seguridad de la información.
Relación de  Anexo 20, Formato 6 "Catálogo de librerías y almacenes"

productos


Rol Descripción
Administrador Define e identifica los activos de TIC y elementos de configuración.
de activos de  Define las relaciones los activos de TIC y elementos configuración.
servicio
 Define la línea base de los activos de TIC y elementos de configuración.
 Define los estados de los activos de TIC y elementos de configuración.
Administrador Establece el alcance del proceso.

del proceso de
 Verifica el Repositorio de configuraciones.
Administración
de la  Desarrolla y controla los almacenes y librerías en el Repositorio de configuraciones.
configuración
Analista de la  Define la línea base de los activos de TIC y elementos de configuración.
CMDB
 Apoya en la verificación del Repositorio de configuraciones.
 Apoya en el desarrollo y control de los almacenes y librerías en el Repositorio
deconfiguraciones.
Administrador Define las relaciones de los activos de TIC y elementos de la configuración.

de la CMDB
 Define los elementos de los estados del activo de TIC y elementos de laconfiguración.
 Apoya en el desarrollo y control de los almacenes y librerías en el Repositorio
deconfiguraciones.
Administrador Define la línea base de los activos de TIC y elementos de configuración.

del sistema de
 Verifica el Repositorio de configuraciones.
administración
de la  Desarrolla y controla los almacenes y librerías en el Repositorio de configuraciones.
configuración
CMS
Frecuencia de
cálculo
Cumplimiento Conocer el Medir la eficacia Eficacia De % de Administrador del Semestral

del proceso de cumplimiento del proceso gestión inconsistencias proceso
administración del proceso mediante la encontradas en
de la medición del la CMDB=
configuración número de (número de
inconsistencias inconsistencias
encontradas en encontradas en
las verificaciones la CMDB/
que se efectúen número total de
sobre el elementos de
Repositorio de la CMDB) X
configuraciones. 100
1.1 Los productos que se entregan a través de este proceso son la fuente única y oficial deinformación
acerca de los activos de TIC y elementos de configuración del ambiente operativo de la Institución.
1.2 La información contenida en el Repositorio de configuraciones podrá ser utilizada por los
usuariosautorizados por el Titular de la UTIC y el responsable del Repositorio de configuraciones.
1.3 Serán extensivas a este proceso las disposiciones de seguridad de la información establecidas
pormedio del SGSI.
1.6 Cualquier proceso o actividad que modifique cualquier activo de TIC y elementos de
configuracióndel ambiente operativo, estará obligado a comunicar dichos cambios a los
Responsables de esteproceso.
1.7 Cualquier consulta de información al Repositorio de configuraciones se hará mediante
losprocedimientos definidos para este fin en este proceso.
1.8 La información de los elementos y activos contenida en el Repositorio de configuraciones
deberáser verificada de manera periódica contra los elementos que componen el ambiente
operativo, confines de seguridad de la información, de continuidad de la operación y de
verificación.
1.9 La información de activo de TIC y elementos de configuración del ambiente productivo
quepertenezcan a proveedores pero estén en el alcance de este proceso deberán sujetarse al
mismo.
1.10 Todo activo de TIC o elemento de configuración del ambiente operativo y gestionado
mediante este proceso, deberá estar relacionado con algún servicio que se proporcione en la
Institución.
1.11 Toda modificación a la estructura de del Repositorio de configuraciones, o cualquiera de
suselementos que lo definen y controlan, a las políticas, a la definición de roles, a las actividades
yprocedimientos, deberá gestionarse mediante este proceso.
1.12 Cuando un activo de TIC o elemento de configuración del ambiente operativo sea retirado
delentorno físico de la Institución, su información en el Repositorio de configuraciones no deberá
serborrado, se pasará a un estatus de inactividad.
1.13 Deberá existir, bajo los mismos mecanismos de seguridad y control que el Repositorio
deconfiguraciones un Repositorio de configuraciones para los ambientes de desarrollo, pruebas
ypreproducción.
5.8.4.5. Documentación soporte del proceso
5.9 OPERACION DE SERVICIOS
5.9.1 Operación de la mesa de servicios

General:
Establecer y operar un punto único de contacto para que los usuarios de los servicios hagan llegar
sussolicitudes de servicio de TIC, para efecto de que las mismas sean atendidas de acuerdo a los niveles
deservicio establecidos.
Específicos:
1. Gestionar el ciclo de vida de las solicitudes de servicio que se reciben de los usuarios de los servicios de
TIC.
2. Contar con mecanismos que difundan la información de las actividades realizadas por la mesa deservicio.
3. Procurar que el mayor número de solicitudes que se reciban en la mesa de servicios en los
primerosniveles de atención reduzcan su tiempo de resolución y costo.
4. Medir la satisfacción del usuario final con respecto al uso de los servicios provistos y difundir losresultados,
con el propósito de establecer de elevar los niveles de disponibilidad de los servicios deTIC.
OMS-1 Establecer un punto único para la gestión de las solicitudes de servicio de TIC
Descripción Establecer un punto único a través del cual se administre de manera centralizada el
ciclo de vida de las solicitudes de servicio de TIC y que permita la evaluación de la
entrega de la solución.
Factorescríticos El Administrador de mesas de servicios deberá:

1. Establecer el punto único para la recepción y gestión de las solicitudes de servicio deTIC y
realizar su difusión entre los usuarios.
2. Definir y difundir los canales de comunicación oficiales para la recepción y gestión delas
solicitudes de servicio de TIC.
3. Implementar las herramientas tecnológicas que permitan la recepción y el ciclo de vida de
las solicitudes de servicio de TUC.
Relación de  Mecanismo de comunicación del punto central para la gestión de las solicitudes de TIC
productos
OMS-2 Definir la solicitud de servicio de TIC, sus tipos y estados

Descripción Definir los instrumentos y medios mediante los cuales se establece la forma en que
losusuarios de los activos y servicios de TIC, harán su requerimiento para satisfacer
unanecesidad en forma de activos o servicio de TIC.
Factorescríticos El Administrador de mesa de servicios deberá:
1. Definir la información que se requiere del usuario solicitante para que sea
posibleregistrarla y gestionarla en la solicitud de servicio de TIC.
2. Definir las autorizaciones previas que debe obtener el usuario para hacer la solicitud.
3. Solicitar información a las unidades responsables sobre la información mínimasuficiente
para poder diagnosticar adecuadamente un incidente, requerimiento,problema o cambio.
4. Identificar elementos coincidentes de la información proporcionada por las
unidadesresponsables.
5. Identificar información crítica y particular, para conocer que área de la UTIC, atenderá la
solicitud de TIC.
6. Realizar los ajustes necesarios para estandarizar la recopilación de información.
7. Definir los tipos de solicitudes del servicio de TIC que estarán disponibles para
laclasificación del caso, considerándose los siguientes tipos:
Incidente
Requerimiento de servicio de TIC
9. Definir los diferentes estados por los que puede pasar un registro durante su ciclo devida.
10. Poner a disposición los estados de la solicitud de servicio de TIC en la
herramientahabilitadora de este proceso para su uso; y que podrán cambiarse conforme
serequiera.
11. Definir las reglas que aplicarán para el cambio de estado de una solicitud de serviciode
TIC en la herramienta de software para la gestión de dichas solicitudes.
Relación de  Anexo 21, Formato 1 "Solicitudes de servicio de TIC"

productos
 Anexo 21, Formato 2 "Documento de definición de los tipos de solicitudes deservicio de TIC"
 Catálogo de estado y cierre de la solicitud de servicio de TIC para cada tipo
OMS-3 Establecer procedimientos para atender y solucionar las solicitudes de servicio
Descripción Establecer procedimientos específicos para atender y solucionar las solicitudes de

serviciode TIC, con el propósito de darles el tratamiento adecuado.
Factorescríticos El Administrador de la mesa de servicios, con el apoyo de todos los roles previstos en
esteproceso, deberán:
1. Definir los procedimientos para la atención de incidentes.
 Definir la naturaleza de los incidentes.
 Definir la clasificación y categorización de los incidentes.
Las categorías de las solicitudes deben describir el rubro que será afectado, porejemplo
procesos, documentación, hardware, software, aplicaciones, entreotros. Las categorías
deben establecerse en una estructura de árbol.
 Definir el ciclo de vida de los incidentes.
 Establecer procedimientos para la investigación y diagnóstico de los incidentes.
 Establecer procedimientos para la solución de los incidentes y restauración delservicio de
TIC.
 Establecer el impacto del incidente en los procesos del "Marco rector de procesos, en
materia de TIC".
 Definir los códigos de cierre.
 Generar repositorios de conocimiento y disponer de ellos, para la solución deincidentes.
 Establecer procedimientos de escalamiento jerárquico y funcional.
2. Definir el procedimiento para la atención de requerimientos de servicio de TIC.
 Definir la clasificación y categorización de los requerimientos de servicio de TIC.
 Definir el ciclo de vida de los requerimientos de servicio de TIC.
 Establecer procedimientos para responder a los requerimientos de servicio de TIC.
 Generar las interfaces con el resto de procesos del "Marco rector de procesos en materia de
TIC".
 Definir los códigos de cierre.
 Generar y disponer de documentación guía para la atención de las solicitudes de TIC.
 Establecer procedimientos de escalamiento jerárquico y funcional.
 Definir una matriz de autorización de requerimientos.
3. Definir el procedimiento para la atención de problemas.
 Definir los criterios para la identificación y registro de problemas.
 Definir la clasificación y categorización de los problemas.
 Definir los criterios para informar sobre los problemas.
 Definir el ciclo de vida de los problemas.
 Establecer procedimientos para la investigación y diagnóstico de los problemas, con base
en metodologías probadas para la identificación de causas raíz.
 Establecer procedimientos para la solución de los problemas y restauración delservicio de
TIC.
TIC".
TIC".
 Generar y compartir la base de datos de errores conocidos con el proceso deincidentes.
4. Definir procedimientos para determinar el impacto y la urgencia de los
incidentes,requerimientos de servicio de TIC y problemas, mediante una tabla de verdad.
El impacto no deberá deducirse considerando únicamente un enfoque cuantitativo.
Determinar la urgencia estableciendo la medición del tiempo que tomará enaparecer un
impacto en la Institución.
5. Promover que todos los usuarios de las soluciones tecnológicas, servicios y bienes de TIC
conozcan las responsabilidades inherentes a su uso, solicitud y resguardo,otorgados
mediante la entrega de nombres de usuario y contraseñas, así como por elequipamiento
propio del cargo.
Relación  Procedimientos de atención de incidentes, de problemas y de requerimientos de servicio de

deproductos TIC
 Tabla de verdad de priorización de las solicitudes de servicio de TIC

 Catálogo de las categorías de solicitud de servicio de TIC para cada tipo
 Repositorio de conocimiento para la solución de incidentes
OMS-4 Establecer el esquema de operación de la mesa de servicios
Descripción Definir la forma en que la mesa de servicios estará estructurada.

Factorescríticos El Administrador de la mesa de servicios y todos los roles involucrados en este
proceso,deberán:
1. Determinar el número de servidores públicos de la UTIC que integrarán la mesa
deservicio, tomando en cuenta el número de usuarios a atender, el volumen esperado
ydistribución de solicitudes de TIC y el horario de operación de la Institución.
2. Tomar en cuenta el perfil de los servidores públicos que integrarán la mesa de servicio,
considerando la complejidad y especialización del ambiente operativo, los niveles de
servicio comprometidos y los recursos disponibles.
3. Definir la forma en que la mesa de servicios interactuará con los involucrados en otros
procesos del "Marco rector de procesos en materia de TIC".
4. Definir las prácticas de gestión de las solicitudes de TIC en todo el ciclo de vida.
5. Promover la mesa de servicios como único punto de contacto para la recepción
desolicitudes de TIC.
6. Documentar todos los procedimientos de atención a solicitudes de TIC.
7. Contar con todos los catálogos y las clasificaciones adecuadas, aprobadas yconocidas
por los servidores públicos de la mesa de servicio.
8. Establecer una herramienta habilitadora de las funcionalidades de registro, correlación,
flujo de trabajo, manejo de alertas y seguridad, que permita que en su conjunto, los
procesos asociados a la mesa de servicio, se realicen de forma ágil y eficiente sobre un
Repositorio de solicitudes de servicio.
9. Establecer mecanismos de comunicación ágiles para la interrelación entre la mesa de
servicios y los usuarios.
Relación de  Anexo 21, Formato 3 "Documento con las prácticas de gestión de las solicitudes de servicio"
productos
 Mesa de servicio operando
 Repositorio de solicitudes de servicio
OMS-5 Identificar y registrar solicitud de servicio
Descripción Como parte operacional, las solicitudes de TIC deben ser identificadas y registradas.
Factorescríticos Los servidores públicos de la mesa de servicios deberán:

1. Comunicar a los usuarios que éstos son responsables de identificar y registrar
lassolicitudes de TIC, bajo los esquemas previamente definidos.
Todas aquellas responsabilidades relacionadas con el uso y acceso a los activos
yservicios de TIC.
2. Recibir de manera continua las solicitudes de TIC y registrarlas.
3. Procurar el correcto registro de cada solicitud (mediante la identificación del tipo
desolicitud). Esta revisión de cada solicitud puede ser suficiente, requerir
informaciónadicional o incluso que el usuario vuelva a elaborarla.
Relación de  Anexo 21, Formato 1 "Solicitudes de servicio de TIC"

productos
 Registro de solicitud (validada)
OMS-6 Clasificar y dar soporte inicial
Descripción Realizar una clasificación inicial, basándose en la información de la solicitud de servicio

deTIC, determinar el tipo de solicitud y establecer una prioridad, con el propósito de dar
elsoporte inicial, y con ello concretar y acotar los términos y requerimientos de la
solicitud de TIC.
Factorescríticos Los servidores públicos de la mesa de servicio, con apoyo del Administrador
derequerimientos y el Administrador de incidentes, deberán:
1. Establecer catálogos con pocos niveles de profundidad, para facilitar la gestión.
2. Establecer categorías adecuadas, homogéneas y claras, que realmente reflejen
lasvariantes de las solicitudes tanto por tipo como por detalle y granularidad, buscando el
equilibrio entre lo general y lo detallado.
3. Procurar que los servidores públicos cuenten con el entrenamiento y el perfil adecuado
para laborar en la mesa de servicios.
4. Contar con una herramienta habilitadora que facilite y agilice las actividades de
estapráctica.
Relación de  Repositorio de solicitudes de servicio de TIC

productos
 Narrativa de la solicitud de servicio de TIC
OMS-7 Analizar, resolver y entregar la solución
Descripción Analizar y plantear, cuando se haya categorizado y priorizado, la solución a la solicitud

deTIC.
Factorescríticos Los equipos responsables de atender y solucionar las solicitudes, con apoyo
delAdministrador de requerimientos y el Administrador de incidentes, deberán:
1. Contar con los procedimientos formalmente liberados y en operación, para promover la
eficiencia en las actividades de análisis, planteamiento, pruebas y entrega de lasolución.
2. Considerar la capacidad de organizarse y establecer actividades con sus iguales,
conmiras a agilizar la investigación y diagnóstico.
3. Contar con fuentes de información organizadas y con contenido de calidad, queayuden a
identificar y establecer las mejores soluciones con prontitud y certeza.
4. Realizar, en caso de requerirse, una investigación, consultando las fuentes necesarias de
información, en este caso se debe involucrar a servidores públicos de la UTIC que
cuenten con experiencia en el tema a que refiera la solicitud de servicios de TIC.
5. Procurar el apego a los tiempos establecidos de respuesta, con el propósito deinformar a
sus superiores.
Relación de  Solución probada
productos
 Base de conocimiento
 Información relativa a la atención de la solicitud de servicio
 Repositorio de conocimiento para la resolución de incidentes
OMS-8 Evaluar y cerrar solicitud
Descripción Evaluar si todo se ha resuelto y señalar su conclusión, con el propósito de que el

usuariosolicitante determine el cierre de la solicitud de servicio de TIC.
Factorescríticos Los equipos responsables de atender y solucionar las solicitudes con supervisión
delAdministrador de mesa de servicios deberá:
1. Verificar que los servidores públicos que resuelvan una solicitud de servicio de TIChayan
realizado la evaluación del resultado de la entrega y revisado que la soluciónentregada
opere dentro de los límites establecidos y acordados.
2. Verificar que todas las actividades realizadas son registradas con precisión yconsistencia,
para construir mejores fuentes de información y contribuir a laadministración del
conocimiento.
3. Establecer claramente los criterios para el cierre de cada tipo de solicitud de serviciode
TIC.
4. Asegurar que se cuenta con un procedimiento y mecanismo para registrar laevaluación
proporcionada por el usuario.
Relación de  Solución entregada
productos
 Repositorio de solicitudes de servicios de TIC actualizado
OMS-9 Monitorear y comunicar
Descripción Monitorear el ciclo de vida de la solicitud de servicio de TIC y comunicar los estados de
lassolicitudes de servicio de TIC.
Factorescríticos El Administrador de la mesa de servicios deberá:

1. Desarrollar procedimientos para el monitoreo y comunicación durante todo el ciclo devida
de la solicitud de servicio de TIC.
2. Crear conciencia de la criticidad de la práctica, para enfatizar la oportunidad yconstancia
con que debe realizarse.
3. Contar con una herramienta de software capaz de resumir y reportar constantementelos
cambios en los estados de las solicitudes de TIC y las alertas relacionadas con su
evolución o vencimiento que permitan rastrear y dar seguimiento a cada solicitud de
servicio de TIC.
Relación de  Reporte de monitoreo
productos
OMS-10 Medir la satisfacción del usuario
Descripción Determinar la satisfacción del usuario, a través del uso de los indicadores de
rendimiento de este proceso, además de conducir encuestas o cuestionarios de forma
periódica paraidentificar áreas de oportunidad y poder luego mejorar la atención.
Factorescríticos El Administrador de mesa de servicios con el apoyo de los servidores públicos de mesa
deservicio deberán:
1. Diseñar encuestas o cuestionarios pertinentes, para obtener resultados confiables.
2. Establecer claramente los objetivos, metas y propósitos de las encuestas ycuestionario
asociados y difundirlos efectivamente, tanto a la UTIC como a losusuarios.
3. Determinar y escoger la muestra representativa dentro de los usuarios, para elaborarlas
encuestas y/o cuestionarios.
Relación de  Anexo 21, Formato 4 "Encuesta o cuestionario"

productos

Rol Descripción
 Establece un punto único para la gestión de las solicitudes de servicio de TIC.

Administrador
de mesa de
servicios  Define la solicitud de servicio, sus tipos y estados.
 Establece procedimientos par atender y solucionar las solicitudes de servicio de TIC.
 Establece el esquema de operación de mesa de servicios.
 Evalúa y cierra la solicitud con ayuda de su equipo responsable de atender ysolucionar las
solicitudes de servicio de TIC.
 Monitorea y comunica el seguimiento de las solicitudes de servicio de TIC.
 Mide la satisfacción de usuario.
 Establece procedimientos para atender y solucionar solicitudes por incidente.
Administrador
de incidentes
 Apoya en el establecimiento del esquema de operación de mesa de servicios.
 Clasifica y da soporte inicial.
 Apoya en el análisis y en la resolución de la solución.
 Establece procedimientos para atender y solucionar solicitudes por requerimientos de

Administrador
de servicio.
requerimientos
 Apoya en el establecimiento del esquema de operación de mesa de servicios.
 Clasifica y da soporte inicial.
 Apoya en el análisis y la resolución de la solución.
Servidores  Apoyan en el establecimiento para atender y solucionar las solicitudes de servicio de TIC.
públicos de la
mesa de  Apoyan en el establecimiento el esquema de operación de mesa de servicios.
servicios  Identifican y registran solicitudes de servicio.
 Clasifican y dan soporte inicial.
Equipos  Apoyan en el establecimiento para atender y solucionar las solicitudes de servicio de TIC.
responsables
de atender y Apoyan en el establecimiento el esquema de operación de mesa de servicios.
 Analizan, resuelven y entregan la solución.
solucionar las
solicitudes
 Evalúan y cierran solicitud.
5.9.1.3 Indicadores
Frecuencia de
cálculo
Eficiencia de Conocer la Medir el Eficiencia De gestión % de eficiencia= Administrador Semestral

del proceso eficiencia con número de (Número de del proceso
de operación que se solicitudes de solicitudes
de la mesa de atienden las servicio resueltas en el
servicios solicitudes en resueltas en tiempo
la mesa de el tiempo comprometido /
servicios comprometido Número de
solicitudes
recibidas) * 100
Satisfacción Conocer la Medir el Calidad De gestión Indice= (Número Administrador Semestral

del cliente satisfacción proceso en de usuarios del proceso
del usuario en función del la satisfechos con la
el proceso de satisfacción calidad del
operación de de los servicio / Número
la mesa de usuarios que total de servicios
servicios reciben el proporcionados)
servicio del X 100
proceso
1.1 La UTIC debe implantar y operar la mesa de servicios, ésta deberá ser el punto único
decontacto entre los usuarios de los servicios y los proveedores de los mismos para la
solicitud de servicios de servicio.
1.2 Toda solicitud de servicio de TIC que esté dentro del alcance de los procesos de incidentes
yrequerimientos de servicio, así como cualquier otro tipo de solicitud que se defina dentro
delalcance tal como solicitudes de cambio, deberán tener como punto de entrada la mesa
deservicios.
1.3 La mesa de servicios es responsable del ciclo de vida de las solicitudes de servicio de TIC
delos usuarios, sean incidentes, requerimientos de servicios u otro tipo de solicitudes en
el alcance de esta función.
1.7 Toda solicitud de servicio, sin excepción, deberá ser registrada clasificada y generándose
paraella un identificador único que se le proporcionará al usuario.
1.8 La mesa de servicios es responsable de difundir la información de los procedimientos
por medio de los cuales gestiona las solicitudes de servicio de TIC.
1.9 El área responsable de la UTIC que tenga a su cargo la mesa de servicios deberá poner
adisposición de los usuarios un medio para que puedan rastrear el proceso de atención de
susolicitud o reporte.
1.10 El área responsable de la UTIC que tenga a su cargo de la mesa de servicios deberá difundir
atodos los usuarios, de manera constante, las disposiciones relacionadas con la operación y
losservicios de la mesa de servicios.
1.11| El área responsable de la UTIC que tenga a su cargo de la mesa de servicios
deberá comunicar a los usuarios de equipos de escritorio, equipos portátiles, servicios de
Internet e intranet, soluciones tecnológicas y cualquier otro servicio de TIC las disposiciones
aplicables a los usuarios y obtener evidencia de haberlo hecho.
1.12 La UTIC deberá implementar herramientas de software, vía la mesa de servicios, para
analizartodos los mensajes de entrada o salida del correo electrónico, con el objeto de detectar
virusinformáticos o contenidos maliciosos.
1.13 La UTIC, como responsable de administrar el servicio de correo electrónico, podrá limitar total o
parcialmente el acceso a una cuenta de correo determinada, así como cancelar,
suspender,bloquear, respaldar o eliminar cuentas, si tuviese conocimiento efectivo de que la
actividad o lainformación almacenada es ilícita o lesiona bienes o derechos de la Institución,
conindependencia de que se haga del conocimiento del órgano interno de control de la
Institución,para efecto de las responsabilidades administrativas a que hubiere lugar. El usuario
deberá sernotificado de esta limitación vía la mesa de servicios.
1.15 La UTIC responsable del correo electrónico deberá establecer y difundir vía la mesa
deservicios, las mejores prácticas para la selección de una contraseña por parte del usuario
delcorreo electrónico.
5.9.2 Administración de servicios de terceros
5.9.2.1 Objetivo del proceso
General:
Efectuar revisiones técnicas para constatar el cumplimiento de los requerimientos técnicos y operativos
deservicios de TIC establecidos en los contratos.
Específico:
1.- Supervisar la calidad de los servicios de TIC prestados por terceros.
2.- Efectuar evaluaciones del técnicas y, operativas.
AST-1 Establecer las actividades de administración de servicios de terceros en materia de TIC
Descripción Establecer las actividades y recursos de TIC para ejecutar la administración de

servicios de TIC de terceros.
Factorescríticos El Administrador del proceso deberá:
1. Identificar las actividades de evaluación de servicios de TIC que se presten porterceros
para asegurar el cumplimiento del contrato establecido.
2. Contemplar las revisiones técnicas del servicio de TIC que se preste por terceros,
yasegurar que tienen la capacidad, escalabilidad y modularidad para prestar el servicio.
3. Realizar pruebas técnicas para asegurar que los resultados de la prestación delservicio
son consistentes con los compromisos contractuales establecidos y losreportes
entregados.
4. Generar un cronograma en el que se definan las actividades y los recursos de TICpara
realizar sus actividades, a fin de asegurar el cumplimiento de los niveles deservicio.
Relación de  Anexo 22, Formato 1 "Programa de administración de servicios de terceros"

productos
AST-2 Revisar procesos de terceros en la prestación de servicios de TIC
Descripción Revisar que los procesos de terceros para prestación de servicios de TIC, se apeguen a
loestablecido en los compromisos contractuales.
Factorescríticos El Responsable de la calidad y el Revisor deberán:
1. Definir los procesos del tercero que se revisarán.
2. Identificar los criterios para la revisión de los procesos señalados.
3. Registrar los hallazgos y desviaciones identificados en los procesos revisados.
4. Comunicar al tercero, al Administrador del contrato, y a la unidad responsable de
lascontrataciones, las "no conformidades" y/o desviaciones identificadas.
5. Establecer las acciones para la solución de los hallazgos y desviaciones detectadas y
darles seguimiento.
6. Registrar los resultados de las revisiones efectuadas y de las acciones de
correcciónrespectivas.
Relación de  Anexo 22, Formato 2 "Reporte de "no conformidades"
productos
AST-3 Ejecutar revisiones técnicas a componentes de servicios de TIC proporcionados

por terceros
Descripción Seleccionar componentes del servicio proporcionado por terceros, para evaluar
losaspectos técnicos y operativos establecidos para el desarrollo del servicio de TIC, con
elobjetivo de verificar que el servicio cuente con la funcionalidad y las
capacidadesnecesarias para cubrir los requerimientos establecidos en el contrato.
Factorescríticos El Revisor deberá:

1. Definir los componentes del servicio que se revisarán.
2. Identificar los criterios para la revisión de los componentes señalados.
3. Registrar los hallazgos y desviaciones identificados en los componentes del
serviciorevisados.
4. Comunicar al tercero, al Administrador del contrato, y a la unidad responsable de
lascontrataciones, las "no conformidades" y/o desviaciones identificadas.
5. Establecer las acciones para la solución de los hallazgos y desviaciones detectadas y
darles seguimiento.
6. Registrar los resultados de las revisiones efectuadas y de las acciones de
correcciónrespectivas
Relación de  Anexo 22, Formato 3 "Reporte de revisiones técnicas a componentes del servicio"
productos
AST- 4 Realizar pruebas técnicas a servicios de TIC proporcionados por terceros
Descripción Asegurar que los servicios proporcionados por terceros en materia de TIC que
seanseleccionados, cumplen con los requerimientos técnicos establecidos en los
contratoscorrespondientes.
Factorescríticos El Responsable de la verificación de la prestación de servicios, conjuntamente con
elRevisor, y conforme a lo establecido en el contrato, deberán:
1. Definir los servicios de TIC que serán sujetos de pruebas técnicas.
2. Definir los niveles de servicio que regirán las pruebas técnicas.
3. Establecer los procedimientos para evaluar los niveles de servicio.
4. Establecer los ambientes requeridos para la ejecución de las pruebas técnicas.
5. Ejecutar las pruebas técnicas conforme a los criterios definidos para este efecto.
6. Registrar los resultados de las pruebas técnicas.
7. Analizar la información resultante de las pruebas técnicas y evaluarla en función delos
compromisos contractuales.
Relación de  Anexo 22, Formato 4 "Reporte de pruebas a la prestación del servicio suministrado por
productos terceros en materia de TIC"
AST- 5 Registrar y evaluar los resultados
Descripción Recopilar los resultados de las evaluaciones realizadas a los procesos de

terceros,componentes de servicios de TIC y a las pruebas técnicas.
Factorescríticos El Responsable de la calidad, conjuntamente con el Responsable de la verificación de

laprestación de servicios, deberán:
1. Recopilar y consolidar los resultados de las evaluaciones realizadas a los procesos de
terceros, componentes de servicios de TIC y a las pruebas técnicas.
2. Evaluar el desempeño de los servicios del tercero, considerando los
requerimientosfuncionales y de capacidad establecidos, así como lo previsto en el
contratocorrespondiente.
3. Registrar los resultados de la evaluación del desempeño y compararlos con losprevistos
en los compromisos contractuales.
4. Comunicar los resultados a la unidad responsable de las contrataciones de laInstitución.
Relación de  Anexo 22, Formato 5 "Reporte de evaluación del servicio proporcionado por terceros en
productos materia de TIC".
AST-6 Monitorear y comunicar los resultados de la evaluación de servicios de TIC

proporcionados por terceros
Descripción Dar a conocer los resultados de la evaluación del servicio, para establecer acciones
quepermitan alinear las actividades de prestación del servicio del tercero en materia de
TIC,conforme a los compromisos contractuales establecidos.
Factorescríticos El Responsable de verificar la prestación de servicios, con el apoyo del Revisor, deberán:
1. Recopilar y consolidar los resultados de las actividades de administración de servicios
suministrados por terceros en materia de TIC.
2. Comunicar los resultados de la evaluación a los involucrados.
3. Registrar las acciones a las que se compromete el tercero, para mejorar los niveles de
servicio de TIC establecidos, corregir las desviaciones identificadas y cumplir con lo
definido en el contrato.
4. Establecer las fechas de cumplimiento de las acciones comprometidas y monitorear su
cumplimiento.
Relación de  Anexo 22, Formato 6 "Programa de mejora para el servicio suministrado por terceros en
productos materia de TIC"
Rol Descripción
Revisor  Verifica los procesos de terceros para la prestación del tercero en materia de TIC
 Lleva a cabo revisiones técnicas a componentes de servicios de TIC
 Realiza pruebas técnicas a servicios de TIC
 Registra y evalúa los resultados de las evaluaciones de niveles del servicio deterceros en
materia de TIC
Responsable  Lleva a cabo revisiones técnicas a componentes de servicios de TIC
dela verificación
de laprestación  Realiza pruebas técnicas a servicios de TIC
deservicios  Monitorea y comunica los resultados de las evaluaciones de niveles del servicio de
terceros en materia de TIC
Responsable  Verifica los procesos de terceros para la prestación del tercero en materia de TIC
dela de calidad
 Registra y evalúa los resultados de las evaluaciones de niveles del servicio deterceros en
materia de TIC
Administradordel Establece las actividades para la administración de servicios de terceros en materia de
proceso TIC
Frecuencia
de cálculo
Resultados del Conocer los Medir la Eficiencia De % de Administrador Semestral

proceso de resultados del eficiencia del gestión eficiencia=(Núme del proceso
administración proceso en proceso ro de "no
de servicios de cuanto a mediante el conformidades"
terceros en compromisos número de "no corregidas en
materia de TIC contractuales conformidades" revisiones a los
de los terceros corregidas en compromisos
las revisiones contractuales,
efectuadas entregables y
servicios) / (Número
de no
conformidades
detectadas en las
revisiones
efectuadas)) X 100
Cumplimiento a Conocer el Medir la Eficiencia De % de eficacia= Administrador Semestral

revisiones cumplimiento eficiencia del gestión ((Número de del proceso
técnicas de las proceso revisiones técnicas
revisiones mediante el efectuadas a los
técnicas número de servicios de
planeadas a los revisiones terceros en materia
servicios de efectuadas a de TIC)/ (número
terceros en los servicios de de revisiones
materia de TIC terceros en técnicas planeadas
materia de TIC a los servicios de
terceros)) x 100
1.1 La UTIC, en el ámbito de su competencia, efectuará revisiones técnicas para constatar

elcumplimiento de los requerimientos técnicos y operativos del servicio, establecidos en
loscontratos de servicios de TIC.
1.2 Los resultados de las revisiones así como las fechas compromiso, deben comunicarse a
launidad responsable de las contrataciones, para que realicen las acciones que correspondan.
5.9.3 Administración de niveles de servicio

General:
Establecer los mecanismos para que la UTIC, en el ámbito de su competencia, pueda definir,
comunicar,cumplir y hacer cumplir los acuerdos de niveles de servicio de TIC comprometidos y con los
acuerdo de nivel operativo.
Específicos:
1.- Procurar la calidad de los servicios en materia de TIC considerando las evoluciones tecnológicas y los
programas de mejora sobre los acuerdos de niveles de servicio y los acuerdos de nivel operativo.
ANS-1 Crear y mantener acuerdos de niveles de servicio y operacionales
Descripción Definir los acuerdos de niveles de servicio basados en el catálogo de servicios de

laUTIC, de acuerdo con los requerimientos de la operación y las necesidades de
losusuarios de cada uno de los servicios de TIC definidos.
Factores críticos El Gestor de niveles de servicios, conjuntamente con terceros y usuarios, deberán:
1. Definir, los acuerdos de niveles de servicio en concordancia con los
objetivosestratégicos de la Institución, con la capacidad de entrega del servicio y con
losprogramas de disponibilidad y operación.
2. Incluir, en la documentación de los acuerdos de niveles de servicio, unadescripción de
los servicios y tiempos de respuesta y solución, procurando quetodos los acuerdos de
niveles de servicio puedan ser monitoreados y medidos.
3. Acordar los niveles de servicio con todos los involucrados interesados,incluyendo al
usuario, antes de que el contrato sea aprobado.
4. Actualizar los acuerdos de niveles de servicio, de acuerdo a las necesidades dela
Institución bajo un control de cambios.
5. Establecer los acuerdos operativos de niveles de servicio entre la UTIC, losusuarios y
los terceros que presten un servicio en materia de TIC, para procurarel logro de los
acuerdos de niveles de servicio establecidos.
Relación de  Anexo 23, Formato 1 "Acuerdos de niveles de servicios"

productos
 Anexo 23, Formato 2 "Acuerdos de niveles operacionales"
ANS-2 Monitorear y reportar el grado de cumplimiento de los niveles de servicio
Descripción Elaborar los reportes de resultados sobre el grado de cumplimiento de los
acuerdos de niveles de servicio, siguiendo las directrices del proceso de
Administración delrendimiento de TIC.
Factores críticos El Gestor de niveles de servicios, con el apoyo del Revisor, deberán:
1. Determinar las necesidades de métricas basándose en los acuerdos de niveles de
servicio comprometidos, incluyendo la retroalimentación de los terceros y/ousuarios.
 Especificar los procedimientos de recolección y almacenamiento, así como el
procedimiento de análisis.
 Determinar los reportes e informes que serán usados para comunicar losresultados.
 Recolectar y revisar los datos de medición.
 Elaborar informes de medición y análisis.
Relación de  Anexo 23, Formato 3 "Reportes de niveles de servicio alcanzados"

productos
 Anexo 23, Formato 4 "Métricas para la medición y análisis de los servicios de TIC"
ANS-3 Realizar revisiones a los servicios
Descripción Utilizar los reportes de logro de los acuerdos de niveles de servicio, para
identificaráreas de oportunidad, existentes o potenciales, entre los acuerdos de
niveles deservicios entregados y los requeridos.
Factores críticos El Asegurador de calidad, con el apoyo del Revisor, deberá :
1. Revisar y comparar los acuerdos de niveles de servicio con los resultados deentrega
de servicio, en sesiones formales de revisión.
2. Notificar al área responsable de las contrataciones respecto del no cumplimiento de
los niveles de servicio.
3. Recopilar y considerar los hallazgos y tendencias identificados en el análisis,
almomento de definir los dos tipos de acciones:
- Reevaluación de actuales niveles de servicio.
- Mantenimiento de los niveles de servicio.
Relación de Anexo 23, Formato 5 "Reporte de revisión de servicios"
productos
ANS-4 Formular el Programa de mejora de servicios
Descripción Proponer las mejoras a los acuerdos de los niveles de servicio, como
consecuencia de las no conformidades observadas por el tercero o el no cumplimiento
de acuerdosestablecidos.
Factores críticos El Asegurador de calidad, con el apoyo del Revisor, deberá :
1. Establecer el Programa de mejora de servicios de TIC, considerando lo siguiente:
 La evaluación de los resultados de los acuerdos de niveles de servicio,
laretroalimentación de los usuarios y las unidades de entrega de servicio sonparte de
las entradas para la formulación del Programa de mejora deservicios.
 Las mejoras pueden estar orientadas a modificar los objetivos de los servicios de TIC,
considerando ajustes a la entrega, monitoreo y al mismo acuerdo de nivel de servicio.
 La retroalimentación de parte de las áreas de la UTIC
2. Monitorear y mantener de forma regular y formal el Programa de mejora deservicios.
Relación de  Anexo 23, Formato 6 "Programa de mejora de servicios de TIC
productos


Rol Descripción
 Crea y mantiene acuerdos de niveles de servicio y operacionales.
Gestor de niveles
de servicios  Monitorea y reporta el grado de cumplimiento de los niveles de servicio.
Tercero  Crea y mantiene acuerdos de niveles de servicio y operacionales

Revisor  Apoya en la realización de revisiones a los servicios de TIC.
 Apoya en la formulación el Programa de mejora de servicios de TIC.
Asegurador de Apoya en la realización de revisiones a los servicios de TIC.

calidad  Apoya en la formulación el Programa de mejora de servicios de TIC.
 Proporcionan retroalimentación acerca del Programa de mejora de servicios.

Areas de la UTIC
Frecuencia
de cálculo
Resultados Obtener el Medir el Eficiencia De gestión % de eficiencia Administrador Semestral
del proceso de porcentaje de cumplimiento =(Número de del proceso
administración servicios que del proceso servicios en
de niveles de han mantenido en relación al operación en el
servicio su nivel de número de nivel de servicio
servicio dentro servicios que comprometido) /
de valores se han (Número
comprometidos mantenido en servicios en
el nivel de operación) X 100
servicio
comprometido
1.1 La UTIC deberá establecer niveles de servicio que correspondan al Portafolio de servicios
queprovee, por medio de las soluciones tecnológicas que libera a producción.
1.2 El Responsable de este proceso se asegurará de que los niveles de servicio se
encuentranalineados a los objetivos de servicio de TIC de la Institución.
1.6 El Responsable de este proceso deberá definir procedimientos para medir y reportar
elrendimiento de los niveles de servicio.
1.7 El Responsable de este proceso deberá definir un programa para la mejora de los servicios
deTIC.
1.8 El Responsable de este proceso deberá procurar que, al definir los niveles de servicio
yoperacionales, se incluyan éstos en situaciones de contingencia.
1.9 El Responsable de este proceso deberá instrumentar metodologías y herramientas
que aseguren la mejora en la administración de los servicios proporcionados.
5.9.4 Administración de la seguridad de los sistemas informáticos
General:
Establecer los mecanismos que permitan la administración de la seguridad de la información de
la Institución contenida en medios electrónicos y sistemas informáticos.
Específicos:
Establecer un Sistema de Gestión de Seguridad de la Información (SGSI) que proteja la información de
laInstitución contenida en medios electrónicos y sistema informáticos, contra accesos y usos no
autorizados,con la finalidad de conservar su confidencialidad, integridad y disponibilidad.

ASSI-1 Diseño del Sistema de Gestión de Seguridad de la Información (SGSI)
Descripción Definir los objetivos y directrices para establecer un Sistema de Gestión de Seguridad
dela Información contenida en medios electrónicos y sistemas informáticos de la
Institución,en términos de las disposiciones jurídicas aplicables.
Factorescríticos El Responsable del SGSI deberá:

1. Definir el alcance del SGSI, que establezca límites de protección desde la perspectiva
Institucional, para proteger adecuadamente los activos tecnológicos y sistemas
informáticos, incluyendo medios electrónicos de almacenamiento y de comunicación y la
información contenida en los mismos.
2. Involucrar a las unidades responsables de la información contenida en
medioselectrónicos y sistemas informáticos, ya que son fuente principal para establecer
elalcance, riesgos, vulnerabilidades, amenazas e impacto de la seguridad
en lainformación de la Institución.
3. Definir los roles y responsabilidades del personal que participará en el diseño delSGSI.
4. Realizar un diagnóstico de los requerimientos de seguridad de la información de
laInstitución, a través de un análisis de riesgos de seguridad informática que valoresus
activos, conociendo las vulnerabilidades y amenazas que pueda sufrir lainformación
contenida en medios electrónicos y sistemas informáticos.
5. Asociar cada riesgo con las estrategias y/o objetivos de la Institución para generarlas
estrategias de seguridad informática, considerando los principios de
integridad,confidencialidad y disponibilidad de la Información.
6. Elaborar el programa de mitigación de riesgos que contenga las estrategias de corto,
mediano y largo plazo para enfrentar y mitigar los riesgos de seguridad de lainformación
identificados en medios electrónicos y sistemas informáticos.
7. Definir métricas y los controles de verificación de cumplimiento de los requerimientos de
seguridad de la información identificados en medios electrónicos y sistemas informáticos.
8. Elaborar el Programa de implantación del SGSI que incluya los procesos
yprocedimientos que permitan su adecuada operación.
Relación de  Anexo 24, Formato 1 "Sistema de Gestión de Seguridad de la Información"

productos
 Anexo 24, Formato 2 "Programa de implantación del Sistema de Gestión de Seguridad de
la Información"
ASSI-2 Implantar el Sistema de Gestión de la Seguridad de la Información
Descripción Asegurar que los controles, procesos y procedimientos del SGSI sean implementados
demanera que se cumpla con los requerimientos de seguridad establecidos en
lasdisposiciones jurídicas aplicables y para mitigar los riesgos identificados.
Factorescríticos El Responsable del SGSI, deberá:

1. Ejecutar, dar seguimiento y actualizar el estatus del Programa de Implantación del SGSI
en la Institución.
2. Implementar y operar los controles de seguridad identificados y documentados en elSGSI.
3. Documentar y comunicar las acciones realizadas en el SGSI.
Relación de  Anexo 24, Formato 1 "Sistema de Gestión de Seguridad de la Información"
productos
 Anexo 24 Formato 2 "Programa de implantación del Sistema de Gestión de Seguridad de la
Información"
 Anexo 24 Formato 3 "Informe de la implantación del Sistema de Gestión de Seguridad de la
Información"
ASSI-3 Evaluar el Sistema de Gestión de la Seguridad de la Información
Descripción Evaluar y medir el rendimiento de los procesos del SGSI

Factorescríticos Se deberá establecer en la institución un Grupo de trabajo para la seguridad de
lainformación, integrado por servidores públicos de la UTIC y por Usuarios del SGSI.
El Grupo de trabajo para la seguridad de la información, deberá:
1. Realizar revisiones para verificar la eficiencia y eficacia de los controlesimplementados en
el SGSI.
2. Medir la efectividad de los controles de seguridad para verificar que se hayan cumplido los
requerimientos de seguridad de los sistemas informáticos.
3. Efectuar el monitoreo de la seguridad de la información en medios electrónicos ysistemas
informáticos para validar la efectividad del SGSI.
4. Revisar los intentos exitosos y no exitosos de violaciones e incidentes de seguridad.
5. Documentar y comunicar las acciones de evaluación del SGSI a los Usuarios del SGSI.
Relación de  Anexo 24, Formato 4 "Informe de Evaluación del Sistema de Gestión de la Seguridad de la
productos Información"
 Anexo 24, Formato 1 "Sistema de Gestión de Seguridad de la Información"
ASSI-4 Mejorar el Sistema de Gestión de la Seguridad de la Información
Descripción Mejorar la seguridad de la información, a través de la aplicación de las

acciones preventivas y correctivas basadas en los resultados de revisiones, con el
propósito de lograr la mejora continua del Sistema de Gestión de Seguridad de la
Información.
Factorescríticos Grupo de trabajo de seguridad de la información deberá:
1. Establecer las acciones correctivas y preventivas con la finalidad de minimizar losriesgos
de seguridad de la información identificados.
2. Implantar y dar seguimiento a las acciones correctivas y preventivas.
3. Documentar las acciones realizadas en el SGSI.
Relación de  Anexo 24, Formato 5 "Acción correctiva y preventiva"
productos
 Anexo 24, Formato 6 "Informe de seguimiento de las acciones correctivas y preventivas"
 Anexo 24, Formato 1 "Sistema de Gestión de Seguridad de la Información"


Rol Descripción
 Evalúa la seguridad de la información de la Institución contenida en medios

Grupo de trabajo
seguridad de la electrónicos y sistemas informáticos.
información
 Mejora la seguridad de la información de la Institución contenida en medios
electrónicos y sistemas informáticos.
Responsable de Establece el Sistema de gestión de seguridad de la información de laInstitución

la seguridad de la
información  Implanta y opera el Sistema de gestión de seguridad de la información de la Institución
Usuarios del  Servidores públicos que hacen uso de los activos de información contenida en medios
Sistema de electrónicos y sistemas informáticos de la Institución.
Gestión de
Seguridad de la
Información
5.9.4.3 Indicadores
Frecuencia
de cálculo
Resultados del Medir los Medir la Eficiencia De % eficiencia= Responsable de Semestral
proceso de resultados de la eficiencia del gestión (Número de la seguridad de
seguridad de la operación del proceso incidentes de la información
información sistema de mediante el seguridad
gestión de conteo del corregidos
seguridad de la número de mediante las
información incidentes de acciones
seguridad correctivas y
corregidos vía el preventivas del
sistema de proceso y el
gestión de sistema) /
seguridad de la (Número de
información incidentes de
seguridad
registrados) x
100
1.1 La UTIC verificará que el Grupo de trabajo para la dirección de TIC apoye las iniciativas
yestrategias de seguridad de la información contenida en medios electrónicos y
sistemasinformáticos.
1.2 La UTIC deberá iniciar y controlar la implementación de la seguridad de la información
contenida en medios electrónicos y sistemas informáticos dentro de la Institución a través de
la implantación de un SGSI.
1.3 La UTIC será la responsable de la seguridad de los recursos y activos de TIC, por lo
queprocurará que la infraestructura y servicios que se utilicen, administren o desarrollen
cumplan con lo previsto en este proceso.
1.4 La evaluación de este proceso deberá realizarse de acuerdo a lo establecido en el proceso
1.6 Las reglas mínimas que deberán ser observadas por la UTIC, relacionadas con la seguridad
de la información contenida en medios electrónicos, se encuentran disponibles en la
páginawww.maagtic.gob.mx
5.10 Administración de activos
5.10.1 Administración de dominios tecnológicos

General:
Implementar arquitecturas tecnológicas robustas y efectivas para cada una de las agrupaciones
lógicasdenominadas dominios tecnológicos.
Específicos:
1. Definir e instrumentar arquitecturas tecnológicas para cada dominio tecnológico.
2. Establecer un Repositorio de conocimiento de los dominios tecnológicos, de acuerdo a los lineamientos del
proceso de Administración del conocimiento.
3. Proveer directrices para la administración de la operación y el mantenimiento de infraestructura.
ADT-1: Establecer la estructura para la administración de los dominios tecnológicos
Descripción Determinar las agrupaciones lógicas de tecnologías, denominadas dominios,

queconformarán la arquitectura tecnológica de la Institución.
Factorescríticos Se deberá establecer en cada una de las Instituciones, un Grupo de expertos de
losdominios tecnológicos, integrado por diversos servidores públicos de la UTIC.
El Responsable del proceso de Administración de dominios tecnológicos deberá:
1. Seleccionar a un Responsable para cada uno de los dominios tecnológicos de la UTIC,
que participará en el Grupo de trabajo de arquitectura tecnológica, y comunicar a los
involucrados su asignación.
2. Determinar los dominios tecnológicos que conformarán la arquitectura tecnológica.
3. Definir los elementos tecnológicos que formarán parte de los dominios tecnológicos.
Relación de  Grupo de expertos del dominio tecnológico
productos
ADT-2: Determinar la dirección del dominio tecnológico y su arquitectura.
Descripción Considerar los requerimientos tecnológicos y las directrices de la Institución de

laarquitectura tecnológica especificada en el Programa de tecnología, de manera que
seobtenga un conjunto de principios rectores para el dominio tecnológico.
Factorescríticos El Responsable del dominio tecnológico, con el apoyo del Grupo de expertos de
dominiostecnológicos, deberán:
1. Traducir, en un conjunto de principios rectores para el dominio tecnológico,
losrequerimientos tecnológicos y las directrices de la Institución especificados en
elPrograma de tecnología.
2. Determinar la arquitectura para cada dominio que se integre, consistente en unconjunto
de principios, modelos, normas y estándares.
3. Realizar, regularmente, un análisis de las fortalezas, oportunidades, debilidades
yamenazas (FODA), de todos los activos críticos del dominio tecnológico.
4. Identificar las tecnologías del dominio que puedan tener un impacto en el rendimiento de
la Institución.
5. Participar en la actualización del Programa de tecnología de la Institución.
6. Dirigir la emisión de dictámenes técnicos asociados a los proyectos de TIC y eldesarrollo
de soluciones tecnológicas.
7. Dar seguimiento a la evolución del mercado y a las tecnologías emergentes asociadas al
dominio.
8. Participar en los consejos y grupos colegiados que se establezcan en laAdministración
Pública Federal para el dominio tecnológico, con el propósito decompartir experiencias y
participar en la determinación de los estándares que serequieran a nivel de una
arquitectura y que minimicen la incompatibilidad entre losrecursos de infraestructura
procurando la interoperabilidad de tecnologías a nivel degobierno federal.
Relación de  Anexos 25, Formato 1 "Principios de los dominios tecnológicos"

productos
 Anexos 25, Formato 2 "Arquitectura de los dominios tecnológicos"
 Anexos 25, Formato 3 "Estándares tecnológicos"
ADT-3: Administrar la base de conocimiento del dominio tecnológico
Descripción Contar con la información necesaria para dirigir, controlar y administrar la base
deconocimiento de los dominios tecnológicos.
Factorescríticos Los Responsables de los dominios tecnológicos deberán:

1. Definir y mantener actualizado el Repositorio de conocimiento de los
2. Administrar de acuerdo a lo establecido en el proceso de Administración delconocimiento,
el Repositorio de conocimiento de los dominios tecnológicos.
3. Considerar en el diseño del Repositorio de conocimiento de los dominios tecnológicos, los
datos e información acerca de la infraestructura instalada registrada en el Repositorio de
configuraciones.
4. Considerar en el diseño del Repositorio de conocimiento de los dominios tecnológicos los
datos e información que identifican las habilidades y conocimiento requeridos asociados al
dominio tecnológico en cuestión, inclusive, la información sobre cuáles recursos humanos
cuentan con esas habilidades y conocimiento, a efecto de sustentar los servicios de TIC, y
dar mantenimiento y operar la infraestructura tecnológica,.
Relación de  Repositorio de conocimiento de los dominios tecnológicos

productos
ADT-4: Monitorear el cumplimiento de los estándares tecnológicos establecidos.
Descripción Monitorear el cumplimiento de los estándares en materia de tecnologías de

Factorescríticos El Administrador del proceso de dominios tecnológicos en conjunto con los

responsables de cada dominio tecnológico deberán:
1. Presentar los estándares tecnológicos institucionales para la aprobación del Grupo
detrabajo de arquitectura tecnológica y comunicarlos a la Institución, mediante
forostecnológicos.
2. Revisar y actualizar periódicamente los estándares tecnológicos institucionales
deldominio, en conjunto con la arquitectura tecnológica.
3. Alinear el proyecto de Programa de entrenamiento y capacitación con los
estándarestecnológicos de TIC.
4. Establecer, como parte del proceso, la estructura del Programa de capacidad, deacuerdo
con lo establecido en el proceso de Determinación de la dirección tecnológica.
Relación de  Anexo 25, Formato 4 "Dictámenes técnicos"

productos
Diagrama de flujo de actividades.-
Rol Descripción
Grupo de  Coadyuva en la determinación del dominio tecnológico y su arquitectura.
expertos
técnicos  Coadyuva en administración la base de conocimiento del dominio tecnológico.
Responsable de Determinar el dominio tecnológico y su arquitectura.
dominio
tecnológico  Administra la base de conocimiento del dominio tecnológico.
 Monitorea el cumplimiento de los estándares tecnológicos establecidos.
 Establece la estructura para la administración de los dominios tecnológicos.

El Responsable
del proceso de
 Monitorea el cumplimiento de los estándares tecnológicos establecidos.
administración
de dominios
tecnológicos
Frecuencia
de cálculo
Cumplimiento Obtener la Medir la Eficiencia De % eficiencia= Administrador Semestral

del proceso de medición de la eficiencia del gestión (Número de del proceso
administración eficiencia del proceso arquitecturas
de los proceso mediante la tecnológicas de
dominios obtención del los dominios
tecnológicos porcentaje de tecnológicos
avance en la implementadas o
implementación actualizadas) /
y actualización (Número de
de la propuestas de
arquitectura de actualización
los dominios acuerdo al Plan de
tecnológicos tecnología) x 100
1.1 La administración de la arquitectura tecnológica deberá estar sustentada en

1.2 Los Responsables de los dominios tecnológicos se deberán asegurar de que la arquitectura
decada uno de los dominios tecnológicos sea diseñada acorde al Programa de
tecnologíaelaborado en el proceso Determinación de la dirección tecnológica.
1.3 El Responsable de cada uno de los dominios tecnológicos se deberá asegurar que el
dominiobajo su responsabilidad sea considerado en los programas de capacidad.
1.7 El Responsable de cada uno de los dominios tecnológicos deberá asegurarse de que exista
y se mantenga actualizado un inventario de los bienes (hardware y software), pertenecientes
aldominio del cual es responsable.
1.8 Los Responsables de los dominios tecnológicos deberán aprobar cualquier modificación que
sesolicite en la operación o uso de los bienes bajo su responsabilidad (hardware y software),
conla finalidad de garantizar su correcto rendimiento.
1.9 El Responsable de cada uno de los dominios tecnológicos deberá aprobar la instalación
y puesta en operación de las soluciones tecnológicas que entrarán en servicio y/o que
tuvieronadecuaciones.
1.10 Los Responsables de los dominios tecnológicos deberán asegurar que la operación y
lainfraestructura del dominio del cual son responsables se reflejen en los
programas decontingencia.
1.11 El Responsable del dominio tecnológico en el que se ubiquen los componentes
decomunicaciones deberá establecer e implementar el sistema operativo a utilizar en
los servidores de red, así como mantenerlos con las últimas actualizaciones de seguridad
y herramientas de administración y monitoreo, incluyendo aquellas para evitar los accesos
no autorizados.
decomunicaciones deberá constatar que todos los servidores de producción pertenezcan a
lossegmentos de red definidos de acuerdo a la arquitectura tecnológica y la
seguridadestablecidas.
decomunicaciones deberá asegurar que las actividades relacionadas con la operación de la
redinterna en donde se encuentren ubicadas las estaciones de administración y monitoreo,
seanindependientes de la red de datos de las áreas usuarias.
1.14 El responsable del dominio tecnológico en el que se ubiquen los
componentes decomunicaciones deberá elaborar la planeación de la capacidad de la red
institucional, derespaldo y sus componentes, para satisfacer la demanda de los servicios en
operación yplaneados.
1.15 Todos los equipos de comunicaciones alojados en el centro de cómputo, deberán contar
conequipos de respaldo de energía eléctrica, a fin de proteger su integridad y evitar daños
porvariaciones de corriente eléctrica o interrupciones de energía eléctrica.
1.16 En el caso de equipamiento nuevo, se deberán seguir las indicaciones de utilización
ymantenimiento del fabricante, para no afectar las condiciones de garantía durante su vigencia.
1.17 El Responsable del dominio tecnológico de Internet/Intranet deberá definir, establecer
yadministrar la plataforma de operación de éstos servicios, con el soporte y ayuda de las
demásáreas involucradas de la UTIC.
1.18 El Responsable del dominio tecnológico de Internet/Intranet deberá asegurar la
disponibilidad,adecuada operación y funcionalidad de los servicios descritos en el punto
anterior.
1.19 El Responsable del dominio tecnológico de Internet/Intranet deberá establecer los
mecanismos de vigilancia de las bitácoras de los servicios que operan en el dominio.
1.20 El Responsable del dominio tecnológico de Internet/Intranet deberá establecer,
conjuntamentecon el Responsable del dominio tecnológico de seguridad, los mecanismos
necesarios paramantener la integridad de la información.
1.21 El Responsable del dominio tecnológico de Internet/Intranet deberá determinar el estado
decontingencia de los servicios, en caso de ser necesario, y será el único facultado para dirigir
lasacciones que se requieran, previa aprobación de responsable del proceso de Administración
deriesgos de TIC.
1.22 El Responsable del dominio tecnológico de Internet/Intranet será el responsable de evaluar
lacontratación del servicio de Internet.
1.23 El Responsable del dominio tecnológico de seguridad se deberá asegurar que todos
los equipos de cómputo de usuario que se conecten a la red de datos tengan instalada
una herramienta de antivirus, antispyware y las últimas actualizaciones del sistema operativo.
1.24 El Responsable del dominio tecnológico de cómputo central se deberá asegurar que
seinstrumente un Programa de contingencia en materia de TIC.
el Programa de contingencia sea revisado y actualizado al menos cada 6 meses.
los cambios en la operación y en la infraestructura del dominio se reflejen de inmediato en
el Programa de contingencia.
5.10.2 Administración del conocimiento
General:
Promover que el personal de la UTIC difunda y comparta la información que genere conocimiento.
Específicos:
1. Establecer y mantener actualizado un Repositorio de conocimiento que permita compartir información
teórica y empírica de TIC, histórica de eventos, proyectos y lecciones aprendidas de la UTIC.
2. Asegurar la calidad de la información contenida en el Repositorio de conocimiento para que sea fuente de
conocimiento.
5.10.2.2.1 Descripción de actividades del proceso
ACNC-1 Diseñar el Sistema de conocimiento
Descripción Diseñar el Sistema de conocimiento para la UTIC, mediante la definición de la

estrategia para la administración del conocimiento de acuerdo a las necesidades de
información de todos los involucrados en los procesos del "Marco rector de procesos en
materia de TIC".
Factorescríticos El Responsable del proceso de Administración del conocimiento deberá:
1. Diseñar la estrategia de administración del conocimiento de la UTIC, con base en
laidentificación de las necesidades de información de todos los involucrados en
losprocesos del "Marco rector de procesos en materia de TIC", incluyendo lasperspectivas
de procesos, proyectos, servicios y arquitectura tecnológica.
2. Definir e integrar los elementos del Sistema de conocimiento basando éste en elenfoque
de procesos y de gobernabilidad, dando prioridad a la permanencia delconocimiento
teórico y del conocimiento empírico.
3. Integrar el Sistema de conocimiento en un conjunto de directrices y comunicarlas atodos
los responsables de repositorios de datos y de información.
Relación de  Anexo 26, Formato 1 "Directrices para la administración del conocimiento"
productos
ACNC-2 Diseñar el Repositorio de conocimiento

Descripción Definir cómo se identificarán los datos e información para el conocimiento de acuerdo a su
tipo y configuración, para ser agrupados, clasificados y documentados de acuerdo consus
características propias, con el objetivo de asegurar que son administrables.
Factores El Responsable del Repositorio de conocimiento deberá:

críticos
1. Definir y documentar criterios para seleccionar datos e información de acuerdo a sutipo.
En el diseño del Repositorio de conocimiento debe considerar, entre otros aspectos,los
siguientes:
 Qué conocimiento es necesario, basado en las decisiones que va a sustentar.
 Cuáles condiciones requieren ser monitoreadas.
 Qué datos/información se encuentran disponibles (que pueden ser almacenados). Este
análisis puede originar requerimientos para ajustar prácticas de trabajo, con el propósito
de facilitar la captura de datos que de otra manera no están disponibles.
2. Documentar las características que deben tener los datos e información paraalmacenarlos
en el Repositorio de conocimiento.
3. Diseñar la arquitectura lógica del Sistema de conocimiento, incluyendo los subsistemas de
conocimiento y la estructura del Repositorio de conocimiento (datos e información).
4. Establecer Responsables en la administración del Repositorio de conocimiento.
5. Seleccionar la configuración por tipo de datos e información que compone elRepositorio
de conocimiento.
Clasificar los datos e información de conocimiento por tipo de dato e información, como
ayuda para identificar el uso, estado y localización.
6. Especificar los atributos de mayor importancia por tipo de activo.
7. Identificar aquellos datos e información de conocimiento que deben alojarse en
elRepositorio de conocimiento.
 Repositorio de conocimiento
Relación de
productos
ACNC-3 Especificar los procedimientos de administración del Repositorio de conocimiento
Descripción Determinar los procedimientos para administrar el contenido del Repositorio

deconocimiento.
Incluye la determinación de los medios de almacenamiento, procedimientos,
y herramientas para registrar y acceder a los elementos del Repositorio.
Factorescríticos El Responsable del Repositorio de conocimiento deberá:
1. Especificar los procedimientos y sus reglas para almacenar y recuperar elementos del
Repositorio de conocimiento.
2. Definir los mecanismos de operación y control: alimentación, consulta, mantenimiento y
respaldo.
 Identificar los momentos en el ciclo de vida de los procesos, servicios y/oproyectos en los
que se deberá recolectar los datos.
 Establecer la autoridad y la responsabilidad sobre todos los elementos delRepositorio de
conocimiento.
3. Documentar los mecanismos de operación y control: alimentación,
consulta,mantenimiento y respaldo.
 Identificar los momentos en el ciclo de vida de los procesos, servicios y/oproyectos en los
que se deberán recolectar datos e información.
 Establecer la autoridad y la responsabilidad sobre todos los elementos delRepositorio de
conocimiento.
4. Determinar las vistas y perspectivas de elementos disponibles para los usuarios
delRepositorio de conocimiento.
5. Definir los procedimientos requeridos para mantener disponibles los datos y lainformación
a sus usuarios.
6. Asegurar la confidencialidad, integridad y disponibilidad, estableciendo niveles
decategorización y acceso a los elementos del repositorio de acuerdo a las reglas
delSistema de gestión de seguridad de información aplicables.
Relación de  Anexo 26, Formato 2 "Criterios de administración de repositorios de conocimiento"
productos
ACNC-4 Identificar, cargar y actualizar el conocimiento
Descripción Identificar, cargar y actualizar el conocimiento mediante la incorporación de los datos

einformación de conocimiento en el Repositorio de conocimiento.
Factorescríticos El Responsable del Repositorio de conocimiento deberá:

1. Incorporar los datos e información de conocimiento, de acuerdo a los criterios
ymecanismos establecidos en los procesos relacionados con la integración de datos de
los procesos del "Marco rector de procesos en materia de TIC", los proyectos y las
soluciones tecnológicas y los servicios.
2. Generar conocimientos y acceder a fuentes de conocimiento externas para, en sucaso,
adaptarlas y así poder extender el conocimiento de la UTIC, respecto a datos
einformación y conocimiento de fuentes diversas.
Relación de  Repositorio de conocimiento actualizado
productos
ACNC-5 Difundir el conocimiento
Descripción Difundir el conocimiento a los servidores públicos de la UTIC, de acuerdo a un

programapara la comunicación de conocimiento.
Factorescríticos El Responsable del proceso de Administración del conocimiento deberá:

1. Determinar las necesidades de conocimiento a ser difundido a la UTIC.
2. Desarrollar un programa para la comunicación del conocimiento.
3. Difundir el conocimiento de acuerdo al programa para la comunicación delconocimiento.
Relación de  Programa para la comunicación del conocimiento
productos
ACNC-6 Asegurar la calidad e integridad de la información y datos
Descripción Ejecutar revisiones para mantener la integridad de la configuración de los datos

einformación de conocimiento.
Factorescríticos El Responsable del proceso administración del conocimiento, conjuntamente con
elResponsable del Repositorio de conocimiento, deberá:
1. Revisar, periódicamente, el Repositorio de conocimiento, incluyendo la revisióncuando
nuevos elementos son agregados, eliminados o actualizados.
2. Realizar revisiones independientes al Repositorio de conocimiento, para asegurar
lacalidad de los datos e información y garantizar el apego a las directrices establecidas y
a la estrategia de administración del conocimiento.
3. Determinar acciones correctivas y de mejora derivadas de los hallazgos.
4. Asegurar que las acciones correctivas y de mejora efectuadas hayan sido efectivas.
Relación de  Anexo 26, Formato 3 "Resultado de revisiones"
productos
 Acciones de mejora

Diagrama de flujo de actividades.-

Rol Descripción
 Diseñar el sistema de conocimiento.
Responsable del
proceso de
administración
 Difundir el conocimiento.
 Asegurar la calidad e integridad de la información y datos.
del conocimiento
Responsable del Diseñar el Repositorio de conocimiento.

repositorio de
conocimiento
 Especificar los procedimientos de administración del Repositorio de conocimiento.
 Identificar, cargar y actualizar el conocimiento.
 Asegurar la calidad e integridad de la información y datos.
Frecuencia
de cálculo
Cumplimiento Obtener la Medir la Eficiencia De % eficiencia= Responsable del Semestral
del programa de eficiencia del eficiencia del gestión (Número de proceso de
comunicación de proceso de proceso acciones administración
los activos de Administración mediante el implantadas del del conocimiento
conocimiento del avance en la programa de
conocimiento implantación del comunicación/
programa de número total de
comunicación de acciones del
activos de programa de
conocimiento comunicación) X
100

1.1 La UTIC deberá establecer un Sistema de conocimiento para almacenar datos e
información,difundir, transferir y generar conocimiento, que contemple el Repositorio de
conocimientorelacionados los procesos del "Marco rector de procesos en materia de TIC".
1.2 El Responsable de este proceso designará a un Responsable de la administración técnica

delRepositorio del conocimiento.
5.10.3 Integración y desarrollo de personal
General:
Identificar las necesidades de capacitación de los servidores públicos en materia de TIC, con el
propósito de proponer ante la unidad competente el Programa de capacitación que permita que dichos
servidorespúblicos cuenten con los conocimientos requeridos.
Específico:
1. Proponer un Programa de capacitación que permita a los servidores públicos fortalecer susconocimientos
en materia de TIC, así como en las metodologías aplicables a la gestión de los procesos y demás
conocimientos para su desarrollo profesional.
IDP-1 Establecer las necesidades estratégicas de capacitación de los servidores públicos de TIC
Descripción Definir los objetivos a corto, mediano y largo plazo para crear o fortalecer las
capacidadesque permitan administrar y operar los procesos del "Marco rector de procesos
en materiade TIC".
Factorescríticos El Responsable de capacitación de la UTIC:
1. Analizar los objetivos estratégicos de negocio de la Institución, las capacidades
yhabilidades necesarias para la ejecución de los procesos "Marco rector de procesosen
materia de TIC". y los programas de proyectos, servicios y procesos, a fin deidentificar
necesidades potenciales de capacitación.
2. Documentar las necesidades estratégicas de capacitación de la UTIC.
3. Revisar, actualizar y dar seguimiento sistemático a las necesidades estratégicas
decapacitación requerida por los servidores públicos de la UTIC
4. Observar la normatividad aplicable en la materia.
Relación de  Anexo 27, Formato 1 "Necesidades estratégicas de capacitación de la UTIC"
productos
IDP-2 Establecer las necesidades de integración y desarrollo de los servidores públicos de la UTIC
Descripción Definir los objetivos a corto, mediano y largo plazo que permitan aprovechar y fortalecer
eltalento de los servidores públicos.
Factorescríticos El Responsable de capacitación de la UTIC deberá:
1. Procurar que todos los servidores públicos de nuevo ingreso cuenten con unainducción
proporcionada por la UTIC, que incluya capacitación sobre:
a. Las políticas y procesos.
b. La importancia de satisfacer los requerimientos del usuario, así como lo relativo a las
disposiciones jurídicas aplicables en materia de TIC, y la necesidad degarantizar la
satisfacción del usuario.
c. La importancia y la trascendencia de sus actividades y la manera en quecontribuyen al
logro de los objetivos de la Institución.
2. Observar la normatividad aplicable en la materia.
3. Identificar las necesidades de desarrollo de capacidades de los servidores públicos de la
UTIC, a cuyo efecto deberá considerar :
 Actividades para fortalecer sus habilidades y motivarlos a enfrentar cambios
yresponsabilidades dentro de la Institución.
 Orientar el resultado de la capacitación a que los servidores públicos cuenten con las
habilidades y conocimientos necesarios en materia de TIC.
Relación de  Anexo 27, Formato 2 "Necesidades de desarrollo de personal de la U"
productos
IDP-3 Definir las necesidades específicas de capacitación de los servidores públicos de la UTIC
Descripción Determinar las necesidades de capacitación específicas para los proyectos, servicios
yprocesos.
1. Determinar específicamente las competencias de los servidores públicos que afectanla
calidad y continuidad del producto/servicio (como grupo de soporte).
2. Analizar las necesidades de capacitación identificadas en los proyectos y por gruposde
expertos.
3. Negociar y documentar con los responsables de los diversos grupos de expertossobre la
forma en que serán satisfechas las necesidades específicas de capacitación.
Relación de  Anexo 27, Formato 3 "Necesidades de capacitación específicas de TIC"
productos
IDP-4 Desarrollar el Programa de capacitación de los servidores públicos de la UTIC
Descripción Elaborar el Programa de capacitación de los servidores públicos de la UTIC, que defina
lacapacitación necesaria para los mismos.
Factorescríticos El Responsable de capacitación de la UTIC:
1. Diseñar el Programa de capacitación de los servidores públicos de la UTIC, que
serápresentado a la unidad responsable de la Institución, en términos de las disposiciones
jurídicas aplicables.
El Programa de capacitación de los servidores públicos de la UTIC considerará almenos lo
siguiente:
 Necesidades estratégicas de capacitación.
 Necesidades de desarrollo de los servidores públicos
 Necesidades de capacitación específicas.
 Tópicos de capacitación.
 Compromisos de capacitación.
 Métodos para la capacitación.
 Requerimientos y estándares para materiales de capacitación.
 Tareas de capacitación, roles y responsabilidades.
 Cronograma.
2. Establecer en el Programa de capacitación compromisos de capacitación para
losservidores públicos de la UTIC.
El Grupo de trabajo para la dirección de TIC revisará y aprobará el Programa
decapacitación de los servidores públicos de la UTIC, a efecto de que se remita
paraconsideración de la unidad responsable competente de determinar la
capacitacióninstitucional.
Relación de  Programa de capacitación de los servidores públicos de la UTIC
productos
IDP-5 Establecer los mecanismos de capacitación de los servidores públicos de la UTIC
Descripción Establecer y mantener los diversos elementos orientados a satisfacer las necesidades
decapacitación.
Factorescríticos El Administrativo de capacitación de TIC, deberá:

1. Seleccionar los enfoques apropiados para satisfacer las necesidades de
capacitaciónespecíficas de la UTIC.
La selección de un enfoque requiere considerar los medios para proporcionar
lashabilidades y conocimientos de manera más efectiva, tomando en
cuenta lasrestricciones existentes.
2. Determinar si el material de capacitación se desarrolla o se adquiere (hacer un análisis de
costo-beneficio).
3. Determinar si se proporciona la capacitación a través de capacitadores internos
oexternos.
 Deberá analizarse la viabilidad de que la capacitación pueda ser proporcionada por los
diversos grupos de trabajo y expertos de la UTIC:
 El personal de capacitación de la Institución debe coordinar el despliegue de lacapacitación,
independientemente de su origen.
4. Desarrollar u obtener instructores calificados.
Para asegurar que los instructores tienen el conocimiento o habilidades necesariaspueden
definirse criterios para evaluarlos. En el caso de capacitación proporcionadapor externos,
el responsable puede investigar la forma en que el proveedor determina qué instructores
son los que pueden proporcionar la capacitación.
5. Definir e integrar la capacitación en el Programa de capacitación de la UTIC.
6. Revisar y actualizar el material de capacitación y sus elementos de soporte.
Relación de  Material de capacitación
productos
 Programa de capacitación de la UTIC
IDP-6 Proporcionar la capacitación de los servidores públicos de la UTIC y monitorear
su cumplimiento
Descripción Desarrollar eventos de capacitación de conformidad con el Programa de capacitación de

laUTIC, siempre y cuando haya sido aprobado por la unidad responsable competente de
laInstitución y vigilar que se efectúen de conformidad con lo establecido.
Factorescríticos El Administrativo de capacitación de TIC deberá:

1. Vigilar que los eventos se realicen conforme a lo establecido en el Programa
decapacitación de la UTIC.
2. Monitorear que en el desarrollo de los eventos de capacitación:
 Se tenga control sobre los servidores públicos de la UTIC que asistan al curso
 Las instalaciones sean adecuadas para el desarrollo del evento
 Los materiales sean los establecidos y que satisfagan los requerimientos de calidad
establecidos
3. Verificar que se efectúen las evaluaciones tanto de conocimiento, como del curso yque se
entreguen los reconocimientos establecidos.
Relación de  Anexo 27, Formato 2 "Informe de resultados de capacitación"
productos
 Diploma de participación y/o certificado
 Evaluaciones
IDP-7 Establecer y mantener actualizado el Repositorio de capacitación de la UTIC
Descripción Establecer y mantener los registros de capacitación de la UTIC en su conjunto.
Factorescríticos El Administrativo de capacitación de TIC deberá:

1. Establecer un procedimiento documentado para definir los controles necesarios para la
identificación, el almacenamiento, la protección, la recuperación, el tiempo de retención y
la disposición de los registros.
Se deberán mantener registros con respecto del nivel educativo, formación, habilidades y
experiencia del personal. Los registros deberán permanecer legibles, fácilmente
identificables y recuperables.
2. Guardar los registros de todos los participantes que completaron exitosamente cadacurso
de capacitación u otras actividades de capacitación aprobadas, así como deaquellos que
no tuvieron éxito.
3. Guardar registros de los servidores públicos que no recibieron capacitación.
La justificación para el otorgamiento de una exención deberá estar documentada y ser
autorizada por el Administrador responsable.
4. Generar registros de capacitación por los servidores públicos relacionados con
lasasignaciones.
Los registros deberán estar debidamente capturados, procesados y consolidados en el
Repositorio de capacitación de la UTIC o, en su defecto, en el sistema de capacitación de
la Institución.
Relación de  Anexo 27 Formato 4 "Registro de incidencias"
productos
 Repositorio de capacitación de la UTIC
IDP-8 Evaluar la efectividad de la capacitación de los servidores públicos en materia de TIC

Descripción Evaluar la efectividad del Programa de capacitación de la UTIC aprobado por la
unidadresponsable competente para ello y establecer un proceso para determinar su
eficacia.
1. Evaluar proyectos en ejecución o terminados, para determinar si el conocimiento de los
servidores públicos es adecuado para desarrollar tareas en el proyecto.
2. Proporcionar un mecanismo para evaluar la efectividad del Programa de capacitaciónde la
UTIC que haya sido aprobado por la unidad responsable competente, conrespecto a los
objetivos de la Institución, del proyecto y de los objetivos individuales.
3. Analizar las evaluaciones de los participantes y de cómo las actividades decapacitación
cumplen con sus necesidades.
Relación de  Anexo 27, Formato 5 "Informes de resultados de capacitación"
productos
 Acciones de mejora de la capacitación
Rol Descripción
 Establece los mecanismos de capacitación a servidores públicos de la UTIC
Administrativo
de
capacitación Vigilar el desarrollo de los eventos de capacitación a servidores públicos de la UTIC y
monitorea su cumplimiento
 Establece y mantiene actualizado el Repositorio de capacitación
Responsable Establece las actividades estratégicas de capacitación de los servidores públicos de la
de UTIC
capacitación
de la UTIC  Establece las necesidades de integración y desarrollo de los servidores públicos de la
UTIC
 Define las necesidades específicas de capacitación de los servidores públicos de la UTIC
 Desarrolla el Programa de capacitación de los servidores públicos de la UTIC
 Evaluar la efectividad de la capacitación de los servidores públicos en materia de TIC
Grupo de  Revisar y aprobar el Programa de capacitación de los servidores públicos de la UTIC, a
trabajo para la efecto de someterlo a consideración de la unidad responsable competente para
dirección de determinar la capacitación institucional.
TIC
Frecuencia
de cálculo
Satisfacción Medir la calidad Obtener la Calidad De (Número de Administrador Anual
del cliente del Programa de medición de la gestión capacitados del proceso
capacitación de los satisfacción del satisfechos con
servidores públicos personal al la capacitación
de la UTIC respecto de la recibida /
capacitación Número total de
recibida capacitados) X
100
1.1 La UTIC ejecutará este proceso con apego a lo dispuesto a las disposiciones jurídicas aplicables.
1.2 La UTIC desarrollará y presentará anualmente para su autorización al Grupo de trabajo para
ladirección de TIC, un Programa de capacitación de los servidores públicos de la UTIC.
1.3 El Programa de capacitación de los servidores públicos de la UTIC debe incluir el diagnóstico
yanálisis de las necesidades estratégicas de capacitación, su justificación así como
losmecanismos de capacitación y formación propuestos.
1.4 Establecer y mantener los registros y controles de las actividades de capacitación de
losservidores públicos de la UTIC.
5.11 OPERACIONES
5.11.1 Administración de la operación
General:
Establecer los mecanismos para administrar y operar la infraestructura, con el propósito de entregar
losservicios de TIC conforme a los niveles de servicio acordados.
Específicos:
1. Cuidar que los servicios y la infraestructura de las TIC puedan resistir a fallas ocasionadas porerrores,
ataques deliberados o desastres, y recuperarse.
2. Asegurarse de la estabilidad y continuidad de la operación de la infraestructura de manera que losservicios
de las TIC estén disponibles.
AO-1 Establecer procedimientos e instrucciones de operación
Descripción Establecer los procedimientos para la programación de las tareas de la operación

yprocurar que los servidores públicos encargados de las operaciones estén
familiarizadoscon todas las tareas propias de la misma.
Factorescríticos El Administrador de la operación deberá:

1. Desarrollar, implementar y mantener un procedimiento estándar operacional de las TIC
que comprenda la definición de roles y responsabilidades, incluyendo aquellos que son
suministrados por un tercero.
 Con el propósito de dar continuidad de las operaciones y el seguimiento de losincidentes a
través de la mesa de servicio, los procedimientos de operacióndeben cubrir las tareas de
entrega de turno (transferencia formal de la actividad, estatus, actualizaciones, problemas
de operación, procedimientos deescalamiento y reportes sobre las responsabilidades
actuales).
 Estos procedimientos contienen las actividades rutinarias que se deben ejecutar en cada
dispositivo o sistema, así como las actividades que deben realizarse en caso de surgir
una excepción o de requerirse un cambio.
 Elaborar programas de ejecución de tareas para la operación de los servicios de TIC.
 Establecer los tiempos permitidos fuera de servicio por incidentes en los programas de
ejecución de tareas para la operación.
 Establecer controles para el registro y seguimiento de incidentes en los programas de
ejecución de tareas para la operación.
2. Definir procedimientos para el manejo de excepciones, conforme a la administración de
incidentes y cambios y para tratar aspectos de seguridad.
3. Asegurar que la segregación de roles y responsabilidades esté alineada con losriesgos
asociados, seguridad y requerimientos de verificación.
Relación de  Mecanismos de operación
productos
AO-2 Programar y ejecutar tareas de la operación
Descripción Organizar la programación de tareas y procesos automatizados, de modo que

se maximice el rendimiento y la utilización de las TIC, para cumplir con los requerimientos
de la Institución.

1. Usar el proceso de Administración de cambios para la planificación de las actividades en
ejecución, que podrían tener un impacto en los servicios proporcionados.
 El Responsable de la administración de la operación deberá autorizar laplanificación inicial y
sus cambios.
 Deberán ser autorizados todos los procesos y tareas que se incluyan en elcalendario de
ejecución, así como cualquier cambio de los componentes o de su programación.
2. Establecer procedimientos e implementarlos para identificar, investigar, supervisar
yaprobar las salidas de los procesos, tareas y programas.
3. Establecer y coordinar la elaboración y ejecución del calendario diario de tareas yasegurar
que la planificación de las tareas y procesos programados considera losrequerimientos de
los servicios de TIC en operación, sus prioridades, conflictos entrelos procesos y tareas,
así como el balanceo de cargas entre otros. Este calendariodeberá estar basado en los
programas de ejecución de tareas para la operación
4. Definir e implementar un procedimiento para resolver las fallas producto de la ejecución
de las tareas y procesos programados de la operación.
5. Implementar herramientas automatizadas y procesos, para notificar y
rectificarinmediatamente fallas críticas del proceso.
Relación de  Anexo 28, Formato 1 "Solicitudes de cambios relacionadas con la operación"
productos
 Anexo 28, Formato 2 "Solicitudes de servicio relativas a incidentes de operación"
 Bitácora de la operación
 Programa de ejecución de tareas
AO-3 Monitorear la infraestructura de TIC
Descripción Verificar que en los registros de operación se almacena suficiente información

cronológicapara permitir la reconstrucción, revisión y análisis de las secuencias de tiempo
de lasoperaciones y de las otras actividades que sustentan las operaciones.

1. Definir y establecer herramientas que permitan validar el estado de los dispositivos,para
asegurarse que se operan dentro de los límites aceptables.
2. Definir e implementar reglas para la administración de eventos.
Un evento es un suceso significativo para la administración de la infraestructura o
laentrega de un servicio. Los eventos son creados por un servicio de TIC, un elementode
configuración o una herramienta de monitoreo.
 Los eventos pueden ser programados para comunicar información de la operación, o ser
alertas y excepciones y pueden ser la base para automatizar tareas rutinarias de
operación.
 Definir los diversos tipos de eventos para establecer reglas de administración por tipo.
Algunos tipos de eventos pueden ser:
Eventos que denotan operaciones normales.
Eventos que denotan excepciones.
Eventos que denotan operación inusual pero que no son excepciones.
3. Asegurarse de que cualquier tarea o proceso que se ejecute como parte de laoperación
sea registrado.
 Los datos registrados se usan para identificar la causa raíz de los incidentesdetectados, así
como para confirmar la ejecución satisfactoria de las tareas yprocesos.
4. Identificar y mantener una lista de datos e información de infraestructura que requerirán
monitorearse y/o supervisarse, basados en servicios críticos y en la relación entre los
datos e información de configuración y servicios que dependen de ellos.
5. Definir e implementar reglas para la detección de incidentes relacionados con
laadministración de eventos.
6. Se deberán catalogar en incidentes menores y mayores, para no generar un registro de
información innecesaria.
7. Resguardar la información de los incidentes, para poder realizar un análisis en lasolución
de problemas, prevención o mejora.
8. Establecer procedimientos para monitorear los registros de incidentes y
conducirrevisiones periódicas.
9. Asegurarse de que los registros de incidentes son creados en el momento en que
seidentifican desviaciones, durante el monitoreo.
Relación de  Anexo 28, Formato 1 "Solicitudes de cambios relacionadas con la operación"
productos
 Anexo 28, Formato 3 "Solicitudes de soporte relativas a incidentes de operación"
 Bitácora de la operación
 Programa de ejecución de tareas

Rol Descripción
 Establece procedimientos e instrucciones de operación

Administrador
de la
operación  Programar y ejecutar tareas de la operación
 Monitorea la infraestructura de TIC
Frecuencia
de cálculo
Número de Eficacia en el Obtener el Eficacia De % eficacia= Administrador Semestral

incidentes en proceso número de gestión (Número de del proceso
la ejecución incidentes en la incidentes en la
de la operación operación/numero
programación de tareas
de tareas para programadas) X
la operación 100
de los
servicios de
TIC
Interrupción de Eficacia en el Conocer la Eficacia De % eficacia= Administrador Semestral

los servicios proceso eficiencia del gestión del proceso
( de minutos de
por incidentes proceso en
interrupción en los
en la ejecución relación a los
servicios por
de los minutos de
procesos interrupción de incidentes en la
programados los servicios ejecución de tareas
y procesos) /
(tiempo máximo
acumulado de
minutos establecido
para interrupción
por incidentes en la
ejecución de tareas
y procesos) X 100
1.1 La UTIC establecerá los instructivos de operación que contengan los datos necesarios para
laejecución, monitoreo, resolución de problemas y niveles de escalamiento en caso
de incidentes.
1.2 La UTIC verificará el cumplimiento de lo establecido en los programas de continuidad

yprocedimientos de la operación.
1.3 La UTIC será responsable de la administración de operación de la red de área local y de la

redde área extendida y demás infraestructura relacionada con las comunicaciones.
1.4 El Responsable de este proceso verificará que se lleve a cabo la calendarización de las
tareasde configuración de equipos en la red, asegurando que los datos de los usuarios de
losservicios de TIC estén actualizados.
1.5 El área responsable del centro de datos y operaciones deberá conservar la integridad
del equipo de TIC ubicado en éste.


5.11.2 Administración de ambiente físico

General:
Establecer mecanismos para el control de acceso a los centros de datos para el equipo de TIC, a fin
deprevenir riesgos ambientales, así como para prever interrupciones en el suministro de energía eléctrica.
Específicos:
1. Minimizar el impacto a la Institución, en caso de variaciones en el ambiente físico que afecten losservicios
de TIC.
AAF-1: Seleccionar o diseñar el centro de datos
Descripción Definir y seleccionar los centros de datos para el equipo de TIC.
Factorescríticos El Administrador del proceso de administración de ambiente físico deberá:

1. Seleccionar o diseñar un centro de datos que cumpla con lo dispuesto en
lasdisposiciones jurídicas aplicables.
2. Identificar, en la selección o diseño, los riesgos potenciales y las amenazas para los
centros de datos y evaluar su impacto en la Institución.
3. Seleccionar o diseñar los centros de datos de forma en que se minimicen losimpactos
de los riesgos ambientales, de acuerdo a su ubicación geográfica.
4. Considerar la instalación de dispositivos y equipo especializado para monitorear
ycontrolar las alertas asociadas al medio ambiente.
Relación de  Especificaciones del centro de datos
productos
AAF-2: Establecer las medidas de seguridad física.
Descripción Definir e implementar medidas de seguridad físicas, alineadas a los

procesos deAdministración de la seguridad de los sistemas informáticos, y de
Administración deriesgos de TIC de la Institución, así como definir e implementar las
reglas de operación de acceso a los centros de datos.

1. Establecer un sistema de seguridad física en el centro de datos que considere
comomínimo:
 Limitar el acceso a la información sensible de los centros de datos, de acuerdo a la
estrategia de seguridad.
 Los riesgos de acceso físico del proceso de Administración de riesgos, asociados a la
naturaleza de la Institución.
 Verificar el retiro, transporte y almacenamiento del equipo de TIC de forma segura.
 Asegurarse de que a todos los dispositivos de almacenamiento fijos removibles y externos,
se les apliquen las medidas de seguridad correspondientes.
 Asegurarse de que todos los incidentes sobre la seguridad física seanregistrados,
supervisados, administrados, reportados y resueltos.
Relación de  Sistema de seguridad física al centro de datos.
productos
AAF-3: Establecer medidas de control de acceso físico a las áreas reservadas de la UTIC
Descripción Definir e implementar procedimientos para otorgar, limitar y revocar el acceso a

lasubicaciones de la UTIC, de acuerdo con los requerimientos de seguridad indicados
por elSistema de gestión de seguridad de Información, incluyendo las salidas de
emergencia.

1. Aplicar los criterios definidos previstos en el SGSI para determinar el acceso físico a las
áreas de la UTIC.
2. Con apego a los controles que establezca el Sistema de gestión de seguridad
deInformación, definir e implementar un mecanismo para controlar el acceso a las áreas
reservadas de la UTIC, que como mínimo cubra lo siguiente:
 Puntos de acceso normal.
 Puntos de acceso en caso de emergencia.
 Puntos de acceso a equipos con datos sensibles.
 Puntos de acceso restringido.
 Perfiles de acceso para todo el personal involucrado en la gestión de la UTIC.
3. Difundir y asegurar el entendimiento de las medidas de seguridad.
4. Establecer mecanismos de monitoreo, para verificar el cumplimiento a las medidas de
seguridad.
Relación de  Sistema de acceso físico a las áreas reservadas de la UTIC.
productos
AAF-4: Establecer la protección contra riesgos ambientales
Descripción Diseñar e implementar medidas de protección contra riesgos ambientales

1. Identificar posibles riesgos o amenazas causadas por desastres naturales oprovocadas
por el hombre, que pueden ocurrir en el área de las instalaciones de TIC.
2. Identificar la forma en que el equipo de TIC, incluyendo el equipo móvil y fuera de sitio,
podrá protegerse contra riesgos y amenazas ambientales.
3. Monitorear y mantener en forma periódica los dispositivos que detectan
amenazasambientales, para responder a las alarmas y a otras notificaciones
4. Comparar las medidas y los planes de contingencia contra los clausulados y requisitos de
las pólizas de seguro, cuando aplique.
5. Mantener el centro de datos y los cuartos de servidores en condiciones aptas yseguras.
Relación de  Medidas de protección contra riesgos ambientales
productos
AAF-5: Administrar las instalaciones físicas.
Descripción Asegurar que las instalaciones de TIC operen en un ambiente adecuado que garantice
lacontinuidad de los servicios para la Institución.

1. Cumplir con los requerimientos para la protección contra condiciones
ambientales,descargas atmosféricas, fluctuaciones de la energía y sobrecargas eléctricas
de lasinstalaciones de TIC, en conjunto con otros requerimientos de continuidad de
laInstitución.
2. Probar y mantener los mecanismos de suministro de energía ininterrumpible (UPS) y
asegurar que el suministro se pueda cambiar directamente a la línea comercial
ogenerador sin ningún efecto significativo sobre operaciones de la Institución.
3. Asegurarse de que las instalaciones para alojar las soluciones tecnológicas de TICtengan
suministro de energía alterno.
4. Verificar que los cableados horizontales y verticales, así como acometidas externasde los
centros de datos estén instalados de acuerdo a las normas y políticas deseguridad
establecidas.
5. Proveer sistemas de cableados con esquemas de redundancia y alta disponibilidadpara
alojar sistemas que así lo requieran, a efecto de que los centros de datos y
lasinstalaciones cumplan con las normas técnicas y demás disposiciones
jurídicasaplicables.
6. Asegurarse de que todos los incidentes sobre la seguridad física sean
registrados,supervisados, administrados, reportados y resueltos.
Estas actividades deberán estar alineadas a lo señalado en el proceso de Operación de la
mesa de servicios.
7. Asegurarse de que los centros de datos y equipo se mantienen operando conforme a los
parámetros y especificaciones de servicio requeridos por el tercero, además de verificar
la vigencia de las garantías y contratos de servicios.
8. Elaborar y cumplir con un programa de mantenimiento y actualización, de acuerdo a los
requerimientos de los activos y a las necesidades de aprovisionamiento
deinfraestructura. Analizar las alteraciones físicas de los centros de datos o laspremisas
para volver a examinar el riesgo ambiental.
Relación de  Anexo 29, Formato 1 "Solicitudes de soporte relativas a incidentes de AAFactualizadas"
productos



Rol Descripción
 Selecciona o diseñar el centro de datos
Administrador del
proceso de
 Establece las medidas de seguridad física
administración de
ambiente físico  Establece medidas de control de acceso físico a las áreas reservada de la UTIC
 Establece la protección contra riesgos ambientales
 Administra las instalaciones físicas
Frecuencia
de cálculo
Medidas de Obtener la Medir la eficacia Eficacia De gestión % eficacia= Administrador Semestral
seguridad de medición de la en la (Número de del proceso
ambiente físico eficacia del implementación medidas de
implementadas proceso de las medidas seguridad de
de seguridad de ambiente físico
ambiente físico implementadas /
Número de medidas
de seguridad de
ambiente físico
definidas en la
política de
seguridad física
para su
implementación) x
100
Interrupción de Eficiencia en el Medir la Eficiencia De gestión % eficiencia= Administrador Semestral
los servicios proceso eficiencia del ( de minutos de del proceso
por incidentes proceso interrupción en los
en el ambiente obteniendo el servicios por
físicos porcentaje de incidentes de
minutos de ambiente físico) /
interrupción por (tiempo máximo
incidentes establecido para
derivados de interrupción por
elementos del incidentes de
ambiente físico ambiente físico) X
de operación 100
1.1 La UTIC es responsable de diseñar y generar las especificaciones de los centros de datos
quepermitan establecer y mantener la estrategia de TIC, ligada a la estrategia de la Institución.
1.2 La UTIC es responsable de establecer y operar un centro de datos con la capacidad
paraestablecer y mantener la infraestructura tecnológica y los servicios de TIC.
1.6 El Administrador de este proceso deberá asegurarse de que se realicen las
actividadesperiódicas de mantenimiento al ambiente físico de TIC, a fin de mantener operando
los servicios de manera adecuada.
1.7 El Administrador de este proceso se deberá asegurarse que se han establecido
los mecanismos de control para propiciar la seguridad del centro de datos.
1.8 El administrador de este proceso deberá asegurarse que se han establecido los
mecanismosque mitiguen los riesgos de falla causados por factores ambientales.
1.9 El Administrador de este proceso deberá asegurarse que se han establecido los
controlessuficientes para el acceso al centro de datos y a los activos de TIC que ahí se
resguarden.
1.10 Se deberán realizar de manera periódica revisiones de los mecanismos de control y
deseguridad a fin de evaluar su efectividad para la seguridad y el correcto funcionamiento
delcentro de datos.
1.11 El Administrador de este proceso es responsable del cumplimiento de las Declaraciones
deaplicabilidad de seguridad de la información de la Institución.
1.12 La UTIC es la responsable de mantener la temperatura óptima de operación de los equipos
decomunicaciones, a través de aire acondicionado y evitar fallas por altas temperaturas.
5.11.3 Mantenimiento de infraestructura
General:
Adquirir, instalar y mantener actualizada la infraestructura tecnológica para garantizar la continuidad de
Específicos:
1. Establecer un Programa de adquisición de tecnología alineado con los planes de tecnología y decapacidad
de los recursos de TIC.
2. Adquirir y mantener una infraestructura de TIC integrada y estandarizada.
MI-1: Generar el Programa para la adquisición de infraestructura tecnológica

Descripción Generar un programa para adquisición e implementar de infraestructura
tecnológica,considerando extensiones futuras para adiciones de capacidad, costos de
transición,riesgos tecnológicos y vida útil de la inversión para actualizaciones de
tecnología.
Factorescríticos El Administrador del mantenimiento a infraestructura deberá:

1. Elaborar un programa para la adquisición de infraestructura y darle
seguimiento.Asegurarse de que el programa cuenta con una evaluación de costo-
beneficio,respecto del estado financiero y el retorno de la inversión durante el ciclo de
vida dela infraestructura.
2. Monitoreo y control de los programas para la adquisición de infraestructura.
3. Establecer un proceso de soporte y mejora continua de la infraestructura tecnológica.
4. Evaluar el programa para la adquisición de infraestructura tecnológica, considerando los
riesgos, costos, beneficios y el cumplimiento a los estándares de tecnología. Cualquier
desviación deberá ser autorizada por el Grupo de trabajo de arquitectura tecnológica.
Relación de  Anexo 30, Formato 1 "Programa para la adquisición de infraestructura"

productos
MI-2: Protección y disponibilidad del recurso de infraestructura
Descripción Implementar medidas de control interno, seguridad y revisión durante la

configuración,implementación y mantenimiento de componentes de la infraestructura
tecnológica.
Factorescríticos El Administrador del mantenimiento a infraestructura deberá:
1. Asegurarse de que se establezcan los controles de riesgos previstos en el SGSI,
loscuales considerarán, entre otros:
 El respaldo y protección de todos los datos de infraestructura y software antes de la
instalación o de las tareas de mantenimiento.
 La validación del ambiente de desarrollo y pruebas de la aplicación.
Comprobar que el ambiente de desarrollo y pruebas de la aplicación estéseparado, pero
sea suficientemente similar a la producción, de manera quepermita comprobar la
funcionalidad y establecer su seguridad, la disponibilidad o las condiciones de integridad.
Esto asegura que operen adecuadamente ycumplan con los requisitos establecidos en el
aprovisionamiento y elmantenimiento de la infraestructura de tecnología.
 Aplicar procedimientos de aceptación, usando criterios objetivos para garantizarque el
rendimiento del producto (incluida la seguridad y funcionalidad) seaconsistente con las
especificaciones acordadas y/o requerimientos de nivel deservicio.
 La evaluación de todos los aspectos de seguridad asociados con la instalación del sistema y
mantenimiento de procesos.
- Monitorear la modificación de contraseñas originales asignadas porproveedores de
servicios, acceso temporal para instalación y laconfiguración de parámetros que pueden
afectar la seguridad, así comoestablecer la configuración por defecto de los parámetros.
 El control de movimientos de programas, software y datos entre los Repositoriopara
asegurar que son ejecutados por un grupo independiente.
- Revisar el proceso para asegurar que la instalación del software sedesempeña de acuerdo
con las directrices del proveedor y que cualquierdesviación pueda ser discutida con el
mismo para evaluar un impactopotencial.
- Monitorear el registro de acceso y mantenimiento de componentes sensibles de la
infraestructura y asegurar que éstos se revisan periódicamente, y que las licencias de
software son probadas e instaladas.
2. Dar seguimiento a la implantación de los programas de mitigación de riesgosestablecidos
en el proceso de Administración de riesgos de TIC relativos acomponentes de
infraestructura.
3. Comunicar a todos los involucrados en las actividades de configuración,implementación y
mantenimiento, de la responsabilidad que conlleva el utilizarcomponentes de
infraestructura sensibles.
4. Registrar las actividades de protección y de mitigación de riesgos ejecutadas.
Relación  Anexo 30, Formato 2 "Solicitudes de cambio"

deproductos
 Bitácora de protección del recurso de infraestructura
MI-3: Mantenimiento de la infraestructura
Descripción Desarrollar una estrategia y un programa de mantenimiento de la infraestructura
paracontrolar los cambios, de acuerdo con el proceso de Administración de cambios, así
comoestablecer un mecanismo para efectuar la revisión de la infraestructura contra
lasnecesidades de los servicios de TIC.
Factorescríticos El Administrador de mantenimiento a infraestructura deberá:

1. Establecer una estrategia y un Programa de mantenimiento de la infraestructura, para
proporcionar orientación general en correspondencia con el proceso deAdministración de
cambios.
2. Asegurarse de que se ejecute el mantenimiento de infraestructura.
3. Constatar que el mantenimiento del software del sistema instalado (actualización
deversiones o corrección de defectos, y otras actualizaciones) se gestiona mediante
elestablecimiento de procesos de Administración del cambio y se realiza de conformidad
con los procedimientos y directrices correspondientes.
4. Establecer la gestión de la documentación que sirve como referencia del mantenimiento
realizado, con el objetivo de analizar la existencia de vulnerabilidades dentro de la
infraestructura.
5. Revisar sobre una base regular la cantidad de mantenimiento que se realiza y
lavulnerabilidad de la infraestructura no compatible; considerar los riesgos
futuros,incluyendo vulnerabilidades de seguridad. Informar de cualquier
problema identificado para su consideración en el proceso de programación de la gestión
de incidencias.
Relación de  Anexo 30, Formato 3 "Programa de mantenimiento de la infraestructura"

productos
 Anexo 30, Formato 4 "Solicitudes de soporte relativas a incidentes de mantenimiento"
 Bitácora de mantenimiento de infraestructura
MI-4: Pruebas de factibilidad de infraestructura
Descripción Establecer el ambiente de desarrollo y pruebas para el desarrollo de las

pruebas depaquetes de liberación e infraestructura, en las primeras fases de los procesos
deDefinición de requerimientos de soluciones y de Desarrollo de soluciones tecnológicas.
Factorescríticos El Administrador de mantenimiento a infraestructura deberá:

1. Diseñar un enfoque de los programas estratégicos acorde con la tecnología, quepermita la
creación y simulación de ambientes adecuados para verificar la viabilidad de las
adquisiciones previstas en los desarrollos tecnológicos.
2. Crear un entorno de prueba que considere la funcionalidad, configuración dehardware y
de software, integración y pruebas de rendimiento, la migración entre losentornos, control
de versión, datos de prueba, herramientas, y seguridad.
Relación de  Anexo 30, Formato 5 "Solicitudes de cambios"

productos
 Bitácora de resultados de las pruebas de factibilidad

Rol Descripción
Administrador  Generar el Programa para la adquisición de infraestructura tecnológica

delmantenimiento
ainfraestructura Procurar la protección y disponibilidad del recurso de infraestructura
 Efectuar el mantenimiento de infraestructura
 Pruebas de factibilidad de estructura
Frecuencia de
cálculo
Resultados del Obtener una Medir los Eficiencia De % eficiencia= Administrador del Semestral
proceso medición de la resultados del gestión proceso
eficiencia del proceso por (Solicitudes
proceso medio de las de soporte de
acciones mantenimient
efectuadas en o realizadas
tiempo y forma según lo
planeado) /
Número de
solicitudes
recibidas) X
100
Interrupción de Obtener una Medir el número Eficacia De % eficacia Administrador del Semestral
los servicios por medición de la de interrupciones gestión =(número de proceso
incidentes en el eficacia en el en los servicios interrupcione
ambiente físicos proceso por s por no
incumplimiento contar con
del proceso los insumos
necesarios) /
(número
total de
interrupcione
s en el
servicio) X
100
1.1 Deberá generarse un Programa para la adquisición de infraestructura y un Programa

demantenimiento por cada Institución, con el objetivo de promover el desarrollo tecnológico.
1.2 La UTIC deberá establecer e implementar el proceso de Mantenimiento de la
infraestructura con el objetivo de prevenir fallas y/o errores tecnológicos
1.6 La UTIC deberá definir los indicadores para cada procedimiento que se derive de este
proceso,una vez definido el catálogo de servicios.
1.7 La UTIC establecerá las especificaciones técnicas de las bases de licitación para contratar
losservicios de mantenimiento preventivo y correctivo que se aplicarán a las TIC.
1.8 La UTIC elaborará un calendario de mantenimiento preventivo para
proporcionar mantenimiento a los equipos de cómputo o comunicaciones y evitar la ocurrencia
de una falla parcial o total de cualquier equipo instalado en el centro de datos.
1.9 El mantenimiento correctivo requerido para solucionar fallas en los equipos de cómputo o
decomunicaciones, ya sea de equipos en periodo de garantía o de equipos bajo
contratoadministrado por la UTIC, invariablemente deberá reportarse al área resolutoria a
través de mesa de servicios de la UTIC.
1.10 La UTIC es responsable de proporcionar el soporte técnico a todos los usuarios y equipos de
laInstitución, teniendo como respaldo el reporte de mesa de servicios o su equivalente.
1.11 La UTIC es responsable de contar con la infraestructura y herramientas necesarias
paraproporcionar soporte técnico a los usuarios y equipos de cómputo.
1.12 La UTIC instalará equipos multifuncionales o impresoras, copiadoras y escáneres dentro de
lared institucional y deberá configurar el acceso al servicio de los equipos multifuncionales
deacuerdo a un perfil de usuario y grupo de trabajo. Deberá llevar la contabilización de
la utilización de los 3 servicios: impresión, fotocopiado y escaneo.
6 Notación utilizada en los diagramas de flujo de información y de actividades
Símbolos utilizados en los diagramas de flujo de información
Símbolos utilizados en los diagramas de flujo de actividades

_____________________________
DOF: 06/09/2011
ACUERDO por el que se modifica el diverso por el que se expide el Manual Administrativo de Aplicación
General en Materia de Tecnologías de la Información y Comunicaciones, y se establecen las disposiciones
administrativas en esa materia.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría de la
Función Pública.
SALVADOR VEGA CASILLAS, Secretario de la Función Pública, con fundamento en lo dispuesto por
el artículo 37, fracciones VI y XXVI de la Ley Orgánica de la Administración Pública Federal; 1 y 6, fracciones I
y XXIV del Reglamento Interior de la Secretaría de la Función Pública, y
CONSIDERANDO
Que el Ejecutivo Federal instruyó a la Secretaría de la Función Pública para emitir, por sí o con
la participación de las dependencias competentes, disposiciones, políticas o estrategias, acciones o criterios
de carácter general y procedimientos uniformes para la Administración Pública Federal y, en lo conducente,
para la Procuraduría General de la República en materia de auditoría; adquisiciones, arrendamientos y
servicios del sector público; control interno; obras públicas y servicios relacionados con las mismas; recursos
humanos; recursos materiales; recursos financieros; tecnologías de la información y comunicaciones, y de
transparencia y rendición de cuentas, y que las dependencias y entidades así como la citada Procuraduría
procedan a dejarsin efectos todas aquellas disposiciones, lineamientos, oficios circulares, procedimientos y
demás instrumentos normativos emitidos al interior de sus instituciones, en esas materias;
Que en ese contexto, el 13 de julio de 2010 se publicó en el Diario Oficial de la Federación el Acuerdo
por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías de la
Información y Comunicaciones, y establece las disposiciones administrativas en materia de tecnologías de la
información y comunicaciones que se deberán observar en el ámbito de la Administración Pública Federal y,
en lo conducente, en la Procuraduría General de la República, como parte de la estrategia de Gobierno
Digital orientada a coordinar las políticas y programas en esa materia, para homologar y armonizar reglas y
acciones definidas y contar con procesos uniformes para el aprovechamiento y aplicación eficiente de las
tecnologías de la información y comunicaciones;
Que el artículo octavo del Acuerdo a que alude en el considerando anterior, establece que los procesos
y procedimientos contenidos en el Manual deberán revisarse cuando menos una vez al año, por la Unidad
de Gobierno Digital de la Secretaría de la Función Pública, para efectos de su actualización, por lo que
dicha unidad administrativa realizó la revisión correspondiente;
Que con motivo de dicha revisión y de la implantación de los procesos antes mencionados, se observó
la conveniencia de reordenar el contenido de los diferentes procesos del Manual y precisar la
interrelación existente entre los mismos; redefinir la participación de los responsables de las actividades
señaladas en cada uno de ellos, así como de realizar los ajustes necesarios para su actualización, en
congruencia con las reformas de que han sido objeto algunos de los ordenamientos jurídicos que se vinculan
con el desarrollo de los referidos procesos; todo ello con la finalidad de dar al Manual mayor claridad y,
consecuentemente, facilitar su mejor aplicación, y
Que las modificaciones al Acuerdo y la actualización del Manual, permitirán contribuir en mayor medida
a la mejora del marco jurídico que regula la materia de las tecnologías de la información y comunicaciones,
en la cual la interoperabilidad entre las dependencias y entidades de la Administración Pública Federal, así
como la Procuraduría General de la República, es un elemento fundamental para superar la incompatibilidad
de infraestructura tecnológica y contenidos e incrementar la eficiencia operativa de las instituciones públicas y
su relación con los particulares y la sociedad en general, por lo que he tenido a bien expedir el siguiente
ACUERDO
ARTICULO PRIMERO.- Se REFORMAN los artículos Primero, Sexto, Octavo y el Anexo Unico,
del Acuerdo por el que se expide el Manual Administrativo de Aplicación General en Materia de Tecnologías
de la Información y Comunicaciones, a que se refiere el considerando segundo del presente instrumento,
para quedar como sigue:
"Artículo Primero.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas
que en materia de tecnologías de la información y comunicaciones deberán observar las dependencias
y entidades de la Administración Pública Federal, así como la Procuraduría General de la República, y
expedir el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información
y Comunicaciones, que en términos del Anexo Unico del presente Acuerdo, forma parte integrante del mismo.
La interoperabilidad entre las dependencias, las entidades y la Procuraduría General de la República,
se realizará conforme a las bases, principios y políticas previstos en el Esquema de interoperabilidad y de
datos abiertos de la Administración Pública Federal, que emita la Secretaría de la Función Pública.
Artículo Segundo.- ...
Artículo Tercero.- ...
Artículo Cuarto.- ...
Artículo Quinto.- ...
Artículo Sexto.- Con el propósito de armonizar y homologar las actividades que en materia de
TIC realizan las dependencias y entidades, en el Manual se identifican los procesos correspondientes que
se regirán por lo dispuesto en las disposiciones jurídicas aplicables y el propio Manual.
Cuando las dependencias y entidades requieran contratar servicios de TIC, cuyo procedimiento para
su ejecución esté previsto en uno o más procesos del Manual, deberán señalar en la convocatoria a la
licitación pública, invitación a cuando menos tres personas o solicitud de cotización, según corresponda, de
acuerdo con el procedimiento de contratación de que se trate, las actividades del proceso o procesos del
Manual que será necesario observar en la prestación del servicio.
Artículo Séptimo.- ...
Artículo Octavo.- Las disposiciones y los procesos contenidos en el Manual a que se refiere el
presente Acuerdo deberán revisarse, cuando menos una vez al año, por la Unidad para efectos, en su caso,
de su actualización.
Artículo Noveno.- ..."
TRANSITORIO
UNICO.- El presente Acuerdo entrará en vigor a los veinte días hábiles siguientes al de su publicación
en el Diario Oficial de la Federación.
México, Distrito Federal, a los treinta días del mes de agosto de dos mil once.- El Secretario de la
Función Pública, Salvador Vega Casillas.- Rúbrica.
ANEXO UNO
MANUAL ADMINISTRTIVO DE APLICACION GENERAL EN MATERIA DE TECNOLOGIAS DE

LAINFORMACION Y COMUNICACIONES
CONTENIDO
1 DEFINICIONES Y ACRONIMOS
2 OBJETIVOS
2.1 General
2.2 Específicos
3 AMBITO DE APLICACION
4 MARCO JURIDICO
5 PROCESOS EN MATERIA DE TIC
5.1 DR - DIRECCION
5.1.1 EMG - Establecimiento del modelo de gobierno de TIC
5.1.1.2.2 Relación de productos
5.1.1.2.3 Relación de roles
5.1.1.3 Indicadores del proceso
5.1.2 PE - Planeación estratégica de TIC
5.1.3 DDT - Determinación de la dirección tecnológica
5.2 CN - CONTROL
5.2.1 AE - Administración de la evaluación de TIC
5.2.2 ARTI - Administración de riesgos de TIC
5.3 PR - ADMINISTRACION DE PROYECTOS
5.3.1 APP - Administración del portafolio de proyectos de TIC
5.3.2 APTI - Administración de proyectos de TIC
5.4 AP - ADMINISTRACION DE PROCESOS
5.4.1 OSGP - Operación del sistema de gestión y mejora de los procesos de la UTIC
5.5 AR - ADMINISTRACION DE RECURSOS
5.5.1 APT - Administración del presupuesto de TIC
5.5.2 APBS - Administración para las contrataciones de TIC
5.5.3 ADTI - Administración de proveedores de bienes y servicios de TIC
5.6 AS - ADMINISTRACION DE SERVICIOS
5.6.1 APS - Administración del portafolio de servicios de TIC
5.6.2 DSTI - Diseño de servicios de TIC
5.7 AD - ADMINISTRACION PARA EL DESARROLLO DE SOLUCIONES TECNOLOGICAS
5.7.1 ATC - Apoyo técnico para la contratación de soluciones tecnológicas de TIC
5.7.2 DST - Desarrollo de soluciones tecnológicas de TIC
5.7.3 CST - Calidad de las soluciones tecnológicas de TIC
5.8 TE - TRANSICION Y ENTREGA
5.8.1 ACMB - Administración de cambios
5.8.2 LE - Liberación y entrega
5.8.3 THO - Transición y habilitación de la operación
5.8.4 ACNF - Administración de la configuración
5.9 OS - OPERACION DE SERVICIOS
5.9.1 OMS - Operación de la mesa de servicios
5.9.2 ANS - Administración de niveles de servicio
5.9.3 ASSI - Administración de la seguridad de los sistemas informáticos
5.10 AA - ADMINISTRACION DE ACTIVOS
5.10.1 ADT - Administración de dominios tecnológicos
5.10.2 ACNC - Administración del conocimiento
5.10.3 APC - Apoyo a la capacitación del personal de la UTIC
5.11 OP - OPERACIONES
5.11.1 AO - Administración de la operación
5.11.2 AAF - Administración de ambiente físico
5.11.3 MI - Mantenimiento de infraestructura
5.12 Documentación soporte a los procesos del presente Manual
1. DEFINICIONES Y ACRONIMOS
Para efectos de este Manual se entenderá por:

TERMINO DEFINICION
Activos de proceso: Los elementos de información que son parte de un proceso y que
reflejancaracterísticas específicas del mismo.
Activos de TIC: Las programas de cómputo, bienes informáticos, soluciones
tecnológicas,sistemas o aplicativos, las bases de datos o archivos electrónicos y
lainformación contenida en éstos.
Acuerdo de nivel de El acuerdo de nivel de servicio que se compromete con la Unidad
servicio SLA: administrativasolicitante, al entregar una solución tecnológica o servicio de TIC
(Service LevelAgreement por sus siglas en inglés).
Acuerdo de nivel El acuerdo de nivel operacional entre los responsables de los
operacional OLA: diversoscomponentes de la arquitectura tecnológica de un servicio de TIC, que
se debendefinir y cumplir para responder a los Acuerdos de nivel de servicio
SLAcomprometidos (Operacional Level Agreement por sus siglas en inglés).
Ambiente de trabajo: El conjunto de herramientas, utilerías, programas, aplicaciones,
información,facilidades y organización que un usuario tiene disponible para el
desempeño desus funciones de manera controlada, de acuerdo con los accesos
y privilegiosque tenga asignados por medio de una identificación única y una
contraseña.
Análisis de riesgos: El uso sistemático de la información para identificar las fuentes
devulnerabilidades y amenazas a los activos de TIC, efectuar la evaluación de
sumagnitud o impacto y estimar los recursos necesarios para eliminarlas
omitigarlas.
Area técnica: La responsable en la Institución de elaborar las especificaciones técnicas que
sedeberán incluir en el procedimiento de contratación, de evaluar la
propuestatécnica de las proposiciones y de responder en la junta de
aclaraciones, laspreguntas que sobre estos aspectos realicen los licitantes, en
términos de lasdisposiciones jurídicas aplicables en materia de adquisiciones y
arrendamiento de bienes muebles y servicios de cualquier naturaleza.
Centro de datos: El lugar físico en el que se ubican los equipos de TIC, desde donde se
proveen los servicios de TIC.
Confidencialidad: La característica o propiedad por la cual la información sólo es revelada
aindividuos o procesos autorizados.
Cuadro de mando La herramienta mediante la cual se obtiene el grado de cumplimento de
integral de la UTIC: laplaneación estratégica de TIC, representado por el valor de los
indicadoresdefinidos para los objetivos estratégicos que se pretenden alcanzar.
Declaraciones de El documento que contiene los controles aplicados por el SGSI de la
aplicabilidad: Institucióncomo resultado del proceso ARTI- Administración de riesgos de TIC.
Directriz rectora: Documento estratégico en el que se establecen principios tecnológicos de
altonivel.
Disponibilidad: La característica de la información de permanecer accesible para su uso
cuandoasí lo requieran individuos o procesos autorizados.
Documento de El documento que contiene la definición de un proyecto, el control de su
planeación del avance,así como sus documentos de planeación subsidiarios y
proyecto: documentacióncomplementaria.
Documentos de Los documentos de planeación que se deben instrumentar cuando un
planeación proyecto es autorizado, los cuales se incorporan al Documento de planeación
subsidiarios: del proyecto.
Entregable: El producto adquirido, desarrollado o personalizado, con
característicascuantificables y medibles en términos de su valor, integralidad,
funcionalidad ycapacidades.
Evento: La alerta o notificación generada por un servicio de TIC, elemento
deconfiguración o herramienta de monitoreo que a menudo conllevan al registro
deincidentes.
Funcionalidad: Las características de un servicio de TIC que permiten que cubra
las necesidades o requerimientos de un usuario.
Gestión de riesgos: La identificación, valoración, y ejecución de acciones para el control
yminimización, de los riesgos de TIC que afecten a la información de
la Institución.
Gobierno digital: Las políticas, acciones y criterios para el uso y aprovechamiento de las TIC,
conla finalidad de mejorar la entrega de servicios al ciudadano; la interacción
delgobierno con la industria; facilitar el acceso del ciudadano a la información
deéste, así como hacer más eficiente la gestión gubernamental para un
mejorgobierno y facilitar la interoperabilidad entre las instituciones.
Incidente: La interrupción no planificada de un servicio de TIC o reducción en la calidad
delmismo.
Iniciativas de TIC: La conceptualización o visualización temprana de una oportunidad para
ofrecerun servicio de TIC o una solución tecnológica en beneficio de la
Institución, éstasse concretan por medio de la planeación y ejecución de uno o
más Programas de proyectos, y de proyectos de TIC.
Infraestructura deTIC: El hardware, software, redes e instalaciones requeridas para desarrollar,
probar,proveer, monitorear, controlar y soportar los servicios de TIC.
Institución: Las dependencias y entidades de la Administración Pública Federal, así como
laProcuraduría General de la República.
Integridad: Mantener la exactitud y corrección de la información y sus métodos de proceso.
Interoperabilidad: La capacidad de organizaciones y sistemas, dispares y diversos, para interactuar
con objetivos consensuados y comunes, con la finalidad de
obtener beneficiosmutuos, en donde la interacción implica que las
Instituciones compartan infraestructura, información y conocimiento mediante el
intercambio de datos entre sus respectivos sistemas de TIC.
Mapa estratégico dela La representación visual que integra los Objetivos estratégicos de la UTIC
UTIC: e ilustra cómo interactúan las perspectivas de presupuesto, de usuarios,
de procesos internos y de crecimiento o aprendizaje de los servidores públicos
de la UTIC.
Marco rector El conjunto de procesos tendientes a la homologación de la gestión interna
deprocesos en de las UTIC, así como a eficientar la elaboración y entrega de servicios digitales
materiade TIC: alciudadano y los mecanismos de medición del desempeño de los procesos.
Mesa de servicios: El punto de contacto único, en el cual se reciben las solicitudes de servicio de los
usuarios de equipos y servicios de TIC en la Institución.
Objetivosestratégicos El conjunto de resultados que se prevé alcanzar y que se integran en el
de TIC: PETIC, los cuales describen el alcance de las acciones que serán llevadas a
cabo por laUTIC.
Problema: La causa de uno o más incidentes, del cual se plantea una solución alterna
enespera de una solución definitiva.
Programa El documento de planeación que contiene la información sobre la capacidad
decapacidad: de la infraestructura de TIC considerando los escenarios de necesidades futuras
y los acuerdos de niveles de servicio establecidos.
Programa El documento de planeación en el que se plantea la estrategia, el
decontingencia: Recurso humano en la UTIC, los activos y las actividades requeridas, para
recuperar por completo o parcialmente un servicio o proceso crítico, en caso de
presentarse un desastre o la materialización de un riesgo.
Programa El documento de planeación que contiene los elementos y las
decontinuidad: accionesnecesarios para asegurar que la operación de los servicios y procesos
críticosde TIC de la Institución no se interrumpa.
Programa El documento de planeación que contiene los elementos y acciones
dedisponibilidad: necesariospara que los componentes de la infraestructura de TIC estén
operando y seanaccesibles.
Programa deproyectos: La integración de uno o más proyectos de TIC que pueden ser
administrados ensu conjunto para la obtención de beneficios adicionales a
los que se lograrían deser administrados individualmente durante su
ejecución.
Programa de retornodel El documento de planeación que contiene el objetivo y descripción de
cambio: lasactividades para un regreso al estado inicial del ambiente operativo de la
UTIC, en caso de falla o incidente que no permita finalizar un cambio en
proceso deimplantación.
Programa detecnología: El documento de planeación en el que se establecen las acciones

estratégicaspara la conformación de las arquitecturas de cada dominio
tecnológico y de todos ellos en su conjunto, considerando los servicios de
TIC existentes y proyectados.
Programa de trabajodel El documento de planeación que contiene el objetivo y descripción de

cambio lasactividades necesarias para la integración de un elemento al ambiente
operativode la UTIC.
Recursos de TIC: La infraestructura, los activos, el Recurso humano en la UTIC y el
presupuesto de TIC.
Recursos humanosen la Los servidores públicos adscritos a la UTIC, o inclusive los servidores
UTIC: públicos de otras áreas de la Institución o personal de terceros cuando
participen en alguno de los procesos previstos en el Manual y hayan sido
acreditados por algún servidor público facultado al efecto, para llevar a
cabo actividades específicas en dichos procesos.
Reglas de adaptación: El documento que contiene los supuestos en que resulta factible adaptar
algunode los procesos del "Marco rector de procesos en materia de TIC",
cuando por las características particulares de la Institución así se justifique,
conforme a loprevisto en el proceso OSGP- Operación del sistema de
gestión y mejora de losprocesos de la UTIC.
Repositorio: El espacio en medio magnético u óptico en el que se almacena y mantiene

lainformación digital.
Requerimientosfuncionales: La característica que requiere cumplir un producto o entregable asociado a
unafunción en un proceso o servicio automatizado, o por automatizar.
Riesgo: La posibilidad de que una amenaza pueda explotar una vulnerabilidad y

causaruna pérdida o daño sobre los activos de TIC e información de la
Institución.
Seguridad de La capacidad de preservación de la confidencialidad, integridad y
lainformación: disponibilidadde la información.
Sistema o aplicativo: El conjunto de componentes o programas construidos con herramientas
desoftware que habilitan una funcionalidad o automatizan un proceso, de
acuerdo a requerimientos previamente definidos.
Software de códigoabierto: El software cuya licencia asegura que el código pueda ser modificado
y mejorado por cualquier persona o grupo de personas con las
habilidades correctas, el conocimiento es de dominio público.
Solución tecnológica: El sistema, aplicativo o componente desarrollado en la Institución o

adquirido por la misma, para habilitar la automatización de procesos o
proveer un servicio de TIC.
Unidad La unidad administrativa de la Institución que solicita una solución

administrativasolicitante: tecnológica oservicio de TIC y que es responsable de definir sus
requerimientos, funcionalidad y niveles de servicio.
Usuarios: Los servidores públicos o aquéllos terceros que han sido acreditados o
cuentancon permisos para hacer uso de los servicios de TIC.
Validación: La actividad que asegura que un servicio de TIC, producto o entregable,

nuevo omodificado, satisface las necesidades acordadas previamente con
la Unidadadministrativa solicitante.
Verificación: La actividad que permite revisar si un servicio de TIC o cualquier otro producto
oentregable, está completo y acorde con su especificación de diseño.
Vulnerabilidades: Las debilidades en la seguridad de la información dentro de una
organización que potencialmente permite que una amenaza afecte a un activo
de TIC.
AA: El grupo de procesos de Administración de activos del "Marco rector de procesos
en materia de TIC". Agrupa los siguientes procesos: ADT, ACNC y APC.
AAF: El proceso de Administración de ambiente físico, del "Marco rector de

ACMB: El proceso de Administración de cambios, del "Marco rector de procesos
enmateria de TIC".
ACNC: El proceso de Administración del conocimiento, del "Marco rector de procesos en
materia de TIC".
ACNF: El proceso de Administración de la configuración, del "Marco rector de
AD: El grupo de procesos de Administración para el desarrollo de
solucionestecnológicas del "Marco rector de procesos en materia de TIC".
Agrupa lossiguientes procesos: ATC, DST y CST.
ADT: El proceso de Administración de dominios tecnológicos, del "Marco rector

ADTI: El proceso de Administración para las contrataciones de TIC, del "Marco
AO: El proceso de Administración de la operación, del "Marco rector de procesos

enmateria de TIC".
AP: El grupo de procesos de Administración de procesos del "Marco rector

deprocesos en materia de TIC". Está conformado por el proceso OSGP.
APBS: El proceso de Administración de proveedores de bienes y servicios de TIC,
del"Marco rector de procesos en materia de TIC".
APC: El proceso de Apoyo a la capacitación del personal de la UTIC, del "Marco
del "Marco rector de procesos en materia de TIC".
APS: El proceso de Administración del portafolio de servicios de TIC, del "Marco



de procesos en materia de TIC".

deprocesos en materia de TIC". Agrupa los siguientes procesos: APT, APBS
y ADTI.
ARTI: El proceso de Administración de riesgos de TIC, del "Marco rector de

AS: El grupo de procesos de Administración de servicios, del "Marco rector

deprocesos en materia de TIC". Agrupa los siguientes procesos: APS y DSTI.
ASSI: El proceso de Administración de la seguridad de los sistemas informáticos,
del"Marco rector de procesos en materia de TIC".
ATC: El proceso de Apoyo técnico para la contratación de soluciones tecnológicas
deTIC, del "Marco rector de procesos en materia de TIC".
CN: El grupo de procesos de Control del "Marco rector de procesos en materia
deTIC". Agrupa los siguientes procesos: AE y ARTI.
CST: El proceso de Calidad de las soluciones tecnológicas de TIC, del "Marco
DDT: El proceso de Determinación de la dirección tecnológica, del "Marco rector
DR: El grupo de procesos de Dirección del "Marco rector de procesos en materia
deTIC". Agrupa los siguientes procesos: EMG, PE y DDT.
DST: El proceso de Desarrollo de soluciones tecnológicas de TIC, del "Marco rector de
DSTI: El proceso de Diseño de servicios de TIC, del "Marco rector de procesos
enmateria de TIC".
EMG: El proceso de Establecimiento del modelo del gobierno de TIC, del "Marco
LE: El proceso de Liberación y entrega, del "Marco rector de procesos en materia
deTIC".
MI: El proceso de Mantenimiento de infraestructura, del "Marco rector de
OMS: El proceso de Operación de la mesa de servicios, del "Marco rector de
OP: El grupo de procesos de Operaciones del "Marco rector de procesos en
materiade TIC". Agrupa los siguientes procesos: AO, AAF y MI.
OS: El grupo de procesos de Operación de servicios del "Marco rector de procesosen
materia de TIC". Agrupa los siguientes procesos: OMS, ANS y ASSI.
OSGP: El proceso de Operación del sistema de gestión y mejora de los procesos de
laUTIC, del "Marco rector de procesos en materia de TIC".
PE: El proceso de Planeación estratégica de TIC, del "Marco rector de procesos
enmateria de TIC".
PETIC: El documento de planeación estratégica en el que se definen los objetivos
yproyectos estratégicos de TIC que la Institución efectuará en un periodo
de tiempo determinado.
PR: El grupo de procesos de Administración de proyectos del "Marco rector
deprocesos en materia de TIC". Agrupa los siguientes procesos: APP y APTI.
SFP: La Secretaría de la Función Pública.
SGSI: El Sistema de Gestión de Seguridad de la Información que por medio del
análisisde riesgos y de la definición de controles, implementa, opera, monitorea,
revisa ymejora de manera continua la seguridad de la información.
TE: El grupo de procesos de Transición y entrega del "Marco rector de procesos
enmateria de TIC". Agrupa los siguientes procesos: ACMB, LE, THO y ACNF.
THO: El proceso de Transición y habilitación de la operación, del "Marco rector
TIC: Las Tecnologías de la Información y Comunicaciones.
UGD: La Unidad de Gobierno Digital de la Secretaría de la Función Pública.
UTIC: La unidad administrativa de la Institución responsable de proveer
deinfraestructura y servicios de TIC a las demás áreas y unidades
administrativasde la Institución.
2. OBJETIVOS
General:
Definir los procesos que en materia de TIC regirán a la Institución, con el propósito de regular y
homologarsu gestión, independientemente de la estructura organizacional con que ésta cuente.
Específicos:
1. Proporcionar a las Instituciones procesos simplificados y homologados en materia de TIC, así como las
correspondientes regulaciones para cada proceso.
2. Establecer indicadores homologados que permitan a la SFP medir los resultados de la gestión de la UTIC,
de manera que le sea posible definir estrategias de apalancamiento y apoyo a las Instituciones que lo
requieran.
3. Contribuir a alcanzar una mayor eficiencia en las actividades y procesos institucionales, mediante
laaplicación del "Marco rector de procesos en materia de TIC", contenidos en el presente Manual.
3. AMBITO DE APLICACION
El presente Manual es de aplicación general en las Instituciones, a través de sus correspondientes UTIC.
4. MARCO JURIDICO
Los ordenamientos jurídicos referidos en este apartado, se citan de manera enunciativa y no limitativa.
13. Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-2012, publicado en
el Diario Oficial de la Federación el 10 de noviembre de 2008.
PúblicaFederal, publicado en el Diario Oficial de la Federación el 4 de diciembre de 2006.
15. Lineamientos Específicos para la Aplicación y Seguimiento de las Medidas de Austeridad y Disciplina del
Gasto de la Administración Pública Federal; publicado en el Diario Oficial de la Federación el 29
dediciembre de 2006.
16. Acuerdo por el que se adicionan y modifican los lineamientos específicos para la aplicación yseguimiento
de las medidas de austeridad y disciplina del gasto de la Administración Pública Federal,publicado en el
Diario Oficial de la Federación el 14 de mayo de 2007.
17. Lineamientos de Protección de Datos Personales, emitidos por el Instituto Federal de Acceso a
laInformación.
18. Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales emitidos
por el Instituto Federal de Acceso a la Información.
19. Acuerdo por el que se da a conocer la Agenda de Gobierno Digital, publicado en el Diario Oficial de
laFederación el 16 de enero de 2009.
5. PROCESOS EN MATERIA DE TIC
5.1 DR - DIRECCION
5.1.1 EMG - Establecimiento del modelo de gobierno de TIC

General:
Establecer un modelo de gobierno de TIC en la Institución, mediante la conformación de dos grupos
de trabajo para efectuar, entre otras acciones, el análisis de las oportunidades de aprovechamiento de las
TIC y asegurar la adecuada organización al interior de la UTIC para la gestión de sus procesos.
Específicos:
1. Establecer un modelo de gobierno de TIC.
2. Establecer y mantener al interior de la UTIC los roles definidos en el "Marco rector de procesos en materia
de TIC".
3. Operar y mantener un modelo de gobierno de las TIC, a fin de:
a) Promover que los mandos medios y los titulares de las unidades administrativas de la Institución,
coadyuven con la UTIC en la toma de decisiones para la dirección y control de las TIC, así como para la
entrega efectiva y eficiente de servicios de TIC.
b) Asegurar que la asignación de roles a quienes integran el Recurso humano en la UTIC, permita la gestión
eficiente de los procesos indicados en el presente Manual.
EMG-1 Establecer un modelo de gobierno de TIC

Descripción Establecer el Grupo de trabajo para la dirección de TIC y el Grupo de trabajo
estratégico de TIC, para la implantación y adopción del modelo de gobierno de TIC, en
la entrega de los servicios de TIC y en la gestión de los procesos de la UTIC.
Factorescríticos El Responsable de este proceso solicitará el apoyo del Titular de la Institución
para:
1. Establecer el Grupo de trabajo para la dirección de TIC, mediante el Documento
deintegración y operación del Grupo de trabajo para la dirección de TIC y asegurar que:
a) El Documento contenga, al menos: objetivos y responsabilidades del Grupo deTrabajo;
miembros del grupo; roles y responsabilidades de cada miembro, así como el
funcionamiento del Grupo de trabajo.
b) El Grupo de trabajo se integre por servidores públicos que deberán ser de alto nivel
dentro de la Institución. Este grupo estará encabezado por el Titular de la UTIC.
c) Se comuniquen los roles y responsabilidades de los integrantes del Grupo detrabajo
para la dirección de TIC.
d) Se realicen, entre otras actividades, las siguientes:
i. Determinar las oportunidades y los riesgos en el uso de TIC.
ii. Determinar las prioridades de las Iniciativas de TIC alineadas con la estrategia ylas
prioridades institucionales.
iii. Verificar que las principales inversiones en materia de TIC se encuentrenalineadas a los
objetivos estratégicos de la Institución.
iv. Evaluar el cumplimiento de los niveles de servicio establecidos para losservicios de TIC.
El Responsable de este proceso deberá:
2. Establecer el Grupo de trabajo estratégico de TIC, mediante el Documento
de integración y operación del Grupo de trabajo estratégico de TIC y asegurarse de que:
a) El Documento contenga, al menos: los objetivos y responsabilidades del grupo;roles y
responsabilidades de cada miembro, así como el funcionamiento del grupo.
b) El grupo se integre por servidores públicos de la UTIC. Este grupo estaráencabezado
por el servidor público de la UTIC que designe su Titular.
c) Se comuniquen los roles y responsabilidades de los integrantes del Grupo detrabajo
estratégico de TIC.
d) Se realicen entre otras actividades, las de definir, implementar y mantener unaadecuada
organización al interior de la UTIC, mediante la asignación de roles yresponsabilidades
para la gestión de los procesos, atendiendo a las necesidadespara la gobernabilidad de
los procesos y proyectos de la UTIC.
EMG-2 Establecer y mantener una adecuada organización de la UTIC

Descripción Distribuir de manera equilibrada los roles y responsabilidades en la organización de
la UTIC para atender las necesidades de gobierno de TIC.
Factorescríticos El Grupo de trabajo estratégico de TIC deberá:
1. Asignar roles y responsabilidades a los servidores públicos de la UTIC, para
cadaproceso, de manera que se delimite con precisión su participación, considerando
susconocimientos, experiencia y habilidades, para lo cual deberá:
a) Utilizar la matriz denominada RACI, (acrónimo de sus siglas en inglés:
Responsible,Accountable, Consulted and Informed), la cual debe incluir el cruce de
roles sobre lasposibilidades de acción definidas en la matriz: responsable de la
ejecución, responsable de rendir cuentas, responsable de asesorar o proporcionar
consultoría y responsable de mantenerse informado.
b) Integrar la asignación de roles y responsabilidades en el Documento de descripción
deroles y responsabilidades.
2. Implantar, en la medida de lo posible, la segregación de roles y responsabilidades con la
finalidad de que se reduzca la posibilidad de que un solo individuo ejecute o administre
un proceso o actividad crítica, mediante lo siguiente:
a) Definir los tramos de actividades a los diversos actores en cada proceso oactividad.
b) Definir las acciones para identificar y prevenir irregularidades en la gestión de
losprocesos, originadas por roles y responsabilidades inadecuadamente asignados,de
manera que sea posible evitar discrecionalidades o errores.
c) Implantar controles para asegurar que los roles y responsabilidades se ejerzan
deacuerdo a las asignaciones efectuadas.
d) Integrar la información de este factor crítico en el Documento de segregación deroles y
responsabilidades.
3. Supervisar las asignaciones efectuadas, apoyándose en el sistema de gestión y mejora
de los procesos de la UTIC que se opera en el proceso OSGP- Operación del sistema
de gestión y mejora de los procesos de la UTIC.
4. Evaluar, al menos una vez al año, la asignación de roles y responsabilidades y ajustarla,
según sea necesario.
5. Comunicar a los servidores públicos de la UTIC de los roles y
responsabilidadesasignados en esta actividad.
EMG-3 Operar y mantener el modelo de gobierno de TIC

Descripción Institucionalizar prácticas para asegurar que las TIC sean aprovechadas con dirección
ygobierno.
1. Tomar acuerdos sobre los asuntos que en materia de TIC le sean puestos a
suconsideración, a través de la Lista de asuntos y acuerdos directivos.
2. Participar en los procesos APP- Administración del portafolio de proyectos de TIC yAPS-
Administración del portafolio de servicios de TIC, conforme se señala en losmismos.
3. Aprobar el PETIC y mantenerse informado del seguimiento del mismo, conforme a
loseñalado en el proceso PE- Planeación estratégica de TIC.
4. Aprobar el sistema de gestión y mejora de los procesos de la UTIC; las Matrices
deriesgos de TIC; el Documento de administración del SGSI, así como los
indicadores del Cuadro de mando integral de la UTIC.
5. Informar al Titular de la Institución acerca de los resultados, recomendaciones yacuerdos
del Grupo de trabajo para la dirección de TIC.

1.1. "Documento de integración y operación del Grupo de trabajo para la dirección de
TIC",formato sugerido: anexo 1, formato 1.
1.2 "Documento de integración y operación del Grupo de trabajo estratégico de TIC",
formatosugerido: anexo 1, formato 2.
1.3 "Documento de descripción de roles y responsabilidades", formato sugerido: anexo
1,formato 3.
1.4 "Documento de segregación de roles y responsabilidades", formato sugerido: anexo
1,formato 4.
1.5 "Lista de asuntos y acuerdos directivos", formato sugerido: anexo 1, formato 5.

1.1. Responsable del proceso EMG- Establecimiento del modelo de gobierno de TIC.
1.2 Grupo de trabajo para la dirección de TIC.
1.3 Grupo de trabajo estratégico de TIC.
Frecuencia de
Nombre Objetivo Descripción Clasificación Fórmula Responsable
cálculo
Resultados Medir la eficacia Comparar el Dimensión: % eficacia= El Responsable del Semestral.
del Grupo de en la resolución número de Eficacia. (Número de proceso EMG-
trabajo para de asuntos asuntos resueltos Tipo: asuntos resueltos Establecimiento del
la dirección tratados por el con el número de en las reuniones modelo de gobierno
Estratégico.
de TIC. Grupo de trabajo asuntos tratados del Grupo / de TIC.
para la dirección en las sesiones Número de
de TIC. del grupo de asuntos tratados
trabajo. en las reuniones
del Grupo) X 100
Resultados Medir la eficacia Medir la eficacia Dimensión: % eficacia= El Responsable del Semestral.
del Grupo de del Grupo de del grupo por Eficacia. (Número de proceso EMG-
trabajo trabajo medio de las Tipo: Estratégico. supervisiones Establecimiento del
estratégico estratégico de acciones de realizadas / modelo de gobierno
de TIC. TIC en términos supervisión que Número de de TIC.
de las éste efectúe para supervisiones
supervisiones verificar el apego programadas) X
efectuadas. a las 100
asignaciones
efectuadas.

1.1 El Titular de la UTIC es el Responsable de este proceso.
1.2 Los roles que se señalan en cada uno de los procesos de este Manual serán asignados
a los servidores públicos de la UTIC en este proceso. Para cualquier cambio en su
asignación será necesario considerar los resultados del proceso OSGP- Operación del
sistema de gestión y mejora de los procesos de la UTIC.
1.3 Los servidores públicos de la UTIC serán responsables, de acuerdo a los roles que les
seanasignados, de las actividades que en los diversos procesos de este Manual se señalan
paradichos roles.
1.4 El Grupo de trabajo para la dirección de TIC deberá apoyar la implantación, operación
ymejora del SGSI.
5.1.2 PE - Planeación estratégica de TIC

General:
Que la Institución cuente con un PETIC, con el objeto de establecer líneas de acción en materia de TIC
y su seguimiento, alineadas a los objetivos institucionales, de acuerdo lo establecido en el Plan Nacional
deDesarrollo, los programas sectoriales y especiales que resulten aplicables, así como las estrategias
y líneas de acción de la Agenda de Gobierno Digital.
Específicos:
1. Establecer y mantener alineada la misión y visión de la UTIC en el contexto de la Institución.
2. Identificar los objetivos y prioridades de la Institución con la finalidad de proponer proyectos de
TIC,especialmente de aquéllos relacionados con la mejora de trámites y servicios públicos.
3. Identificar las oportunidades y riesgos para el cumplimiento de los Objetivos estratégicos de TICmediante
el análisis del entorno y de la Institución.
4. Elaborar el Mapa estratégico de la UTIC en el que se definen estrategias, líneas de acción e indicadores
de TIC.
5. Establecer los mecanismos para elaborar, operar y supervisar el avance del PETIC, en términos
deproyectos, metas e indicadores.
6. Elaborar el PETIC y dar seguimiento a su avance, entre otros factores, en lo relativo a las estimaciones del
presupuesto de inversión por proyecto, a los beneficios esperados y a las fuentes definanciamiento; con el
propósito de asegurar su cumplimiento y corregir desviaciones.
7. Dar seguimiento a los indicadores estratégicos de TIC, mediante el Cuadro de mando integral de la UTIC.
PE-1 Analizar el entorno en materia de TIC

Descripción Identificar y analizar los factores que conforman el entorno de la Institución en materia
deTIC, mediante el reconocimiento de la situación actual.
Factorescríticos El Responsable de la planeación estratégica de la UTIC deberá:
1. Identificar los elementos regulatorios y tecnológicos que influyen o pueden influir en la
ejecución de las actividades y servicios que provee la UTIC.
2. Realizar un análisis de fortalezas, oportunidades, debilidades y amenazas que influyen
en el cumplimiento de las funciones de la Institución en materia de TIC, para lo cual se
deberá considerar lo previsto en el Plan Nacional de Desarrollo, los programas
sectoriales y especiales que apliquen, los objetivos estratégicos de la Institución, así
como las estrategias y líneas de acción de la Agenda de Gobierno Digital.
3. Identificar elementos del ambiente externo que podrían representar una amenaza
uoportunidad en materia de TIC para la Institución, como pueden ser: factores
legales,regulatorios, políticos, económicos, sociales y tecnológicos.
4. Identificar fortalezas y debilidades de la Institución en materia de TIC, como puedenser:
disponibilidad de recursos tecnológicos, recursos financieros, procesos,capacidades de
la infraestructura y servicios de TIC, así como la percepción de losusuarios.
5. Integrar la información de los factores críticos anteriores en la Matriz de
fortalezas,oportunidades, debilidades y amenazas (FODA).
PE-2 Establecer la misión, visión y estrategias de la UTIC

Descripción Establecer la misión, visión y estrategias de la UTIC y comunicarlos de manera efectiva.
1. Establecer la misión de la UTIC, que describa de manera clara y concreta su propósito
fundamental.
2. Establecer la visión de la UTIC, que describa la situación deseada que busca alcanzar a
largo plazo. Debe ser fácil de recordar y estar alineada a los objetivos estratégicos de la
Institución.
3. Obtener la aprobación de la misión y visión de la UTIC por parte del Titular de ésta.
4. Difundir la misión y la visión de la UTIC en la Institución, por medio de
actividadescontinuas que busquen transmitir y sensibilizar la importancia de éstas.
5. Establecer, con apoyo de los Administradores de los portafolios de proyectos y
deservicios de TIC, los Objetivos estratégicos de TIC y sus indicadores, en base a:
a) La misión y visión de la UTIC.
b) Los resultados del FODA.
c) Los programas y objetivos estratégicos de la Institución.
d) Los indicadores institucionales relacionados.
e) Las Iniciativas de TIC preexistentes.
6. Integrar el Documento estratégico de TIC con la información obtenida de los
factorescríticos anteriores y obtener del Responsable de este proceso la aprobación
deldocumento.
7. Integrar la información relativa a Iniciativas de TIC en el Repositorio de iniciativas de TIC
y proyectos estratégicos de la UTIC, incluyendo los datos necesarios para
suseguimiento a nivel estratégico.
PE-3 Desarrollar el mapa estratégico y cuadro de mando integral de la UTIC

Descripción Establecer objetivos y metas de la UTIC mediante el diseño e implementación de
un mapa estratégico y un cuadro de mando integral de la UTIC.
1. Analizar la situación actual de la UTIC obtenida del FODA.
2. Analizar las funciones sustantivas de la Institución.
3. Integrar el Mapa estratégico de la UTIC, con base en el Documento estratégico de TIC,
de manera que en dicho Mapa se definan los Objetivos estratégicos de la UTIC en las
cuatro perspectivas siguientes:
a) Perspectiva financiera: Objetivos estratégicos que permitan tener una
situacióneconómica favorable en la UTIC.
b) Perspectiva de cliente o usuario: Objetivos estratégicos que permitan mantenerniveles
de satisfacción adecuados de los usuarios de la Institución.
c) Perspectiva de procesos: Objetivos estratégicos que permitan que los
procesoscontenidos en este Manual operen de manera efectiva, eficiente y con
unadecuado nivel de control.
d) Perspectiva de recursos humanos: Objetivos estratégicos que permitan que losRecursos
humanos en la UTIC obtengan el conocimiento y capacidadesnecesarios para cumplir
los roles que le sean asignados.
4. Incluir la interrelación y dependencia que guarden entre sí las cuatro perspectivas.
5. Integrar indicadores estratégicos relevantes para la toma de decisiones, en cada unade
las perspectivas.
6. Definir las metas y acciones que permitan cumplir los Objetivos estratégicos de TIC.
7. Establecer en el Mapa estratégico de la UTIC, la correspondencia existente
entreindicadores, metas y acciones.
8. Establecer un cuadro de mando integral que integre la información del Mapaestratégico
de la UTIC y los indicadores estratégicos definidos. El Cuadro de mandointegral de la
UTIC deberá:
a) Plasmar los avances y desviaciones en el cumplimiento de la planeaciónestratégica de
TIC de la Institución.
b) Permitir que se obtenga una medición del cumplimiento de las estrategias de TIC y los
compromisos de la UTIC, en las cuatro perspectivas definidas en el factor crítico 3.
PE-4 Identificar las iniciativas y proyectos estratégicos de TIC

Descripción Identificar las principales iniciativas y los proyectos estratégicos de TIC que deben
serejecutados para cumplir con lo establecido en el Mapa estratégico de la UTIC.
Factorescríticos El Responsable de la planeación estratégica de la UTIC, con apoyo del Grupo
detrabajo estratégico de TIC, deberá:
1. Determinar las iniciativas y proyectos estratégicos de TIC necesarios para cumplir con
los Objetivos estratégicos de TIC.
2. Priorizar las iniciativas y proyectos estratégicos de TIC, considerando su relevanciapara
cumplir con los Objetivos estratégicos de TIC.
3. Estimar la inversión requerida para las iniciativas y proyectos estratégicos de
TIC,desagregándola, al menos, en los siguientes rubros: recursos financieros,
materialesy humanos.
4. Integrar las iniciativas y proyectos estratégicos de TIC al portafolio de proyectos de TIC
que se establece en el proceso APP- Administración del portafolio de proyectos de TIC,
y obtener la Relación de iniciativas de TIC y proyectos estratégicos de la UTIC.
PE-5 Elaborar, validar, aprobar, comunicar y actualizar el PETIC
Descripción Elaborar, validar, aprobar, comunicar y actualizar el PETIC.
Factorescríticos El Responsable de la planeación estratégica de la UTIC, con apoyo de
losAdministradores de los portafolios de proyectos y de servicios de TIC, deberá:
1. Elaborar el PETIC, integrando la información de las actividades anteriores (PE-1 a PE-4)
en la herramienta de registro y seguimiento determinada por la UGD.
2. Revisar y validar el PETIC.
3. Presentar el PETIC al Grupo de trabajo para la dirección de TIC, para su aprobación.
4. Enviar el PETIC a la UGD y difundirlo a todos los involucrados.
El Responsable de la planeación estratégica de la UTIC, con apoyo de
losAdministradores de los portafolios de proyectos y de servicios de TIC, deberá:
5. Actualizar el PETIC cuando existan razones de carácter técnico, económico o de
otranaturaleza que sean justificadas. Las actualizaciones al PETIC están sujetas a
losfactores críticos 2 a 4 anteriores.
PE-6 Dar seguimiento a la planeación estratégica de TIC

Descripción Dar seguimiento a los avances en el cumplimiento de la planeación estratégica de TIC.
1. Dar seguimiento al avance del PETIC y reportarlo trimestralmente a la UGD,
previaaprobación del Titular de la UTIC por medio del Reporte de seguimiento del
PETIC que se obtiene de la herramienta provista por la UGD.
2. Informar trimestralmente al Grupo de trabajo para la dirección de TIC, del cumplimiento
del PETIC y de la situación de los indicadores en el Cuadro de mando integral de la
UTIC.
3. Dar seguimiento a los acuerdos del Grupo de trabajo para la dirección de
TIC,relacionados con el PETIC y con los indicadores del Cuadro de mando integral de
laUTIC.
4. Identificar, registrar y administrar las acciones correctivas en caso de desviación en el
avance real del PETIC o en los indicadores del Cuadro de mando integral de la UTIC.
5.1.2.2.2 Relación de Productos

1.1 "Matriz de fortalezas, oportunidades, debilidades y amenazas (FODA)", conforme
alformato que defina la Institución.
1.2 "Documento estratégico de TIC", formato sugerido: anexo 2, formato 1.
1.3 "Mapa estratégico de la UTIC", formato sugerido: anexo 2, formato 2.
1.4 "Cuadro de mando integral de la UTIC", formato sugerido: anexo 2, formato 3.
1.5 "Repositorio de iniciativas de TIC y proyectos estratégicos de la UTIC", definido por
laInstitución.
1.6 "Relación de iniciativas de TIC y proyectos estratégicos de la UTIC", formato
sugerido:anexo 2, formato 4.
1.7 "PETIC", herramienta indicada por la UGD.
1.8 "Reportes de seguimiento del PETIC", emitidos por la herramienta indicada por la UGD.

1.1 Responsable del proceso PE- Planeación estratégica de la UTIC.
1.2 Responsable de la planeación estratégica de la UTIC.
Frecuenci
Nombre Objetivo Descripción Clasificación Fórmula Responsable a
decálculo
Cumplimient Medir Registrar Dimensión:Eficiencia Entrega entiempo. El Responsable Anual.
o enla elcumplimient laeficiencia en . delproceso PE-
entrega o enla entrega laentrega Tipo: Planeaciónestratégic
delPETIC. delPETIC. delPETIC. De gestión. a de TIC.
Eficiencia Medir Obtener Dimensión:Eficiencia % El Responsable Trimestral.
delPETIC. laeficiencia en laeficiencia en . deincidencia=(Númer delproceso PE-
laelaboración baseal número Tipo: o deajustestécnicos Planeaciónestratégic
delPETIC. deajustes De gestión. alPETIC /Número a de TIC.
técnicosintegrado deajustes totales)X
s comouna 100
actualizaciónal
PETIC.

1.2 El Responsable de este proceso deberá verificar que en el Documento estratégico de
TICde la Institución, se incorporen las directrices planteadas en la Agenda de
Gobierno Digital.
5.1.3 DDT - Determinación de la dirección tecnológica
General:
Determinar la dirección tecnológica de la Institución y establecer un Programa de tecnología que facilite
laselección, el desarrollo, la aplicación y el uso de la infraestructura de TIC, de manera que ésta responda
a la dinámica de la Institución.
Específicos:
1. Determinar los requerimientos tecnológicos que, de acuerdo a las necesidades de la Institución, deberán
ser incorporados en el Programa de tecnología.
2. Definir un Programa de tecnología que incluya la arquitectura tecnológica que considere los
dominiostecnológicos necesarios para estandarizar y evolucionar a una infraestructura de TIC que cuente
con la capacidad para satisfacer las necesidades actuales y proyectadas de la Institución.
3. Balancear el Programa de tecnología en cuanto se refiere a necesidades, innovación, beneficios,riesgos y
costos.
4. Orientar a la Institución hacia el desarrollo de nuevas formas para cumplir con sus objetivos en materiade
TIC.
DDT-1 Establecer el Grupo de trabajo de arquitectura tecnológica

Descripción Conformar el Grupo de trabajo de arquitectura tecnológica.
Factorescríticos El Responsable de este proceso deberá:
1. Establecer el Grupo de trabajo de arquitectura tecnológica, mediante el Documento de
roles y responsabilidades del Grupo de trabajo de arquitectura tecnológica, yasegurarse
de que:
a) El grupo sea encabezado por el servidor público de la UTIC que haya designado.
b) El documento contenga al menos la descripción de roles y responsabilidades delos
miembros del grupo, así como el funcionamiento del grupo.
El Grupo de trabajo de arquitectura tecnológica deberá:
2. Comunicar el alcance, objetivos, roles y responsabilidades de los integrantes delgrupo,
a los Recursos humanos en la UTIC.
DDT-2 Determinar la visión de la tecnología

Descripción Analizar las tecnologías existentes y emergentes y definir cuál dirección tecnológica es
laapropiada para materializar los objetivos y estrategias de TIC, acordes a
los requerimientos de la Institución.
Factorescríticos El Grupo de trabajo de arquitectura tecnológica deberá:
1. Definir los requerimientos tecnológicos derivados de las necesidades,
objetivos,estrategias, proyectos y servicios de la Institución en materia de TIC, que
deberán ser soportados por la dirección tecnológica que se defina.
Para definir los requerimientos tecnológicos es útil desarrollar escenarios de uso,
conuna descripción integral de la situación o necesidad de negocio en conjunto con
laperspectiva tecnológica que permita analizar los requerimientos con respecto
alimpacto en el negocio.
2. Definir el alcance, estructura y nivel de detalle de los elementos de la
arquitecturatecnológica, considerando la estructura de los datos, el modelo de
aplicaciones y deinfraestructura, así como la estructura de servicios de TIC de la
Institución.
3. Dar seguimiento a la evolución del mercado y de las tecnologías emergentes, con
elpropósito de identificar nuevas tecnologías que puedan ser aprovechables.
4. Realizar la selección de las áreas y tópicos de investigación de TIC, en función de las
iniciativas, proyectos de TIC y requerimientos tecnológicos identificados.
5. Compilar las investigaciones en materia de TIC a fin de establecer las
posiblesDirectrices rectoras.
6. Determinar las Directrices rectoras para la arquitectura tecnológica que guiarán
lasdefiniciones de la arquitectura tecnológica, considerando los
requerimientostecnológicos y los resultados de los factores críticos anteriores. Para
cada directriz se deberá definir, al menos, lo siguiente:
a) La conceptualización de cada directriz.
b) Los servicios actuales y proyectados que deberá soportar.
c) El dominio tecnológico asociado y las capacidades actuales del mismo.
d) La tecnología existente y las tendencias viables que pueden ser aprovechables.
e) Estimaciones de presupuesto.
DDT-3 Establecer y actualizar el Programa de tecnología

Descripción Elaborar, establecer y mantener actualizado el Programa de tecnología con base en
lasDirectrices rectoras de la dirección tecnológica.
1. Elaborar el Programa de tecnología basado en un análisis de cada uno de loselementos
tecnológicos identificados en la actividad anterior. El Programa contendrá:
a) La descripción del estado actual de los componentes de cada dominio paraestablecer
una línea base que sustente la planeación estratégica.
b) Las descripciones de la arquitectura tecnológica que se desea para cada uno delos
dominios tecnológicos, conforme a la visión tecnológica de la Institución.
c) La información de la selección de las perspectivas de la arquitectura tecnológicaque se
desea, de forma que demuestre que responde a los requerimientostecnológicos y a los
objetivos esperados por las unidades administrativasinvolucradas, en un plazo
determinado.
d) Un estudio de las brechas entre la arquitectura tecnológica en operación y laarquitectura
tecnológica que se desea.
e) La definición de la arquitectura tecnológica que se desea y, de ser necesario,
ladefinición de arquitecturas tecnológicas de transición, como etapas intermediaspara
llegar a la arquitectura tecnológica deseada.
2. A partir del Programa de tecnología, el grupo:
a) Planteará modelos de arquitectura tecnológica enfocados en la capacidad de
laInstitución.
b) Definirá estándares para la reutilización de componentes con orientación a
lainteroperabilidad.
c) Se asegurará que los diversos dominios puedan esquematizarse en una
solarepresentación lógica.
3. Evaluar y seleccionar la alternativa de implantación de las arquitecturas
tecnológicasdeseadas que conformen el Programa de tecnología para pasar del estado
actual aldeseado, así como evaluar las correlaciones, costos y beneficios de las
alternativas.
4. Integrar las Iniciativas de TIC y los proyectos de tecnología al Programa de tecnología,
considerando la prioridad, el orden, las interdependencias y sus beneficios.
5. Incluir en el Programa de tecnología los costos relacionados con las Iniciativas de TIC y
los proyectos de tecnología y otros costos derivados de la estrategia de transición,
riesgos tecnológicos y las mejoras esperadas relacionadas con la interoperabilidad de
plataformas y aplicaciones.
6. Revisar el Programa de tecnología, integrando las Iniciativas de TIC y proyectos
detecnología autorizados en el proceso APP- Administración del portafolio de
proyectosde TIC.
7. Someter a autorización del Responsable de este proceso el Programa de tecnología.
8. Dar seguimiento a la implementación del Programa de tecnología.
9. Revisar y, en su caso, actualizar semestralmente el Programa de tecnología.
10. Asegurar que los grupos de trabajo involucrados participen en la planeación
yaprobación de los proyectos de migración y cambio que se prevean ejecutar para
latransición a la arquitectura tecnológica por implantar.
11. Asegurar que los cambios en la arquitectura tecnológica se realicen siguiendo elproceso
ACMB- Administración de cambios.
12. Determinar las condiciones bajo las cuales los componentes de la
arquitecturatecnológica podrían cambiarse una vez implementados, así como las
condicionesnecesarias para iniciar el ciclo de actualización de la arquitectura
tecnológica.
DDT-4 Dar seguimiento a tendencias y a disposiciones normativas

Descripción Establecer un mecanismo para dar seguimiento a las tendencias de TIC, así como a
lasdisposiciones normativas en la materia y considerarlas en el Programa de tecnología.

1. Definir el Documento del mecanismo de seguimiento al desarrollo tecnológico y
sustendencias, asegurándose de incluir en éste:
a) La forma para determinar las fuentes a las que se dará seguimiento sobre losdesarrollos
y tendencias tecnológicas de interés.
b) La forma para elaborar documentos con información relativa a las tendencias deTIC que
les permitan comparar con las arquitecturas actuales.
2. Aplicar el mecanismo de seguimiento definido, para:
a) Evaluar la posible contribución de tecnologías emergentes al logro de los Objetivos
estratégicos de TIC.
b) Dar seguimiento a las reformas de disposiciones jurídicas en materia de TIC yanalizar su
impacto en el Programa de tecnología, para prever en su caso loscambios que resulten
pertinentes.
c) Informar a los integrantes de los grupos de trabajo de la UTIC sobre los resultados del
seguimiento efectuado.
DDT-5 Administrar los requerimientos tecnológicos

Descripción Identificar, almacenar y comunicar los requerimientos tecnológicos derivados de
losobjetivos, estrategias y servicios que deberán ser soportados por la
1. Registrar requerimientos tecnológicos e incluir aquéllos que resultarían necesariospara
la arquitectura tecnológica deseada.
2. Determinar la prioridad de los requerimientos tecnológicos, de acuerdo a su tipo yetapa
en el ciclo de vida de la arquitectura tecnológica.
3. Dar seguimiento a los requerimientos tecnológicos a fin de reasignar
prioridades,agregar, ajustar o dar de baja requerimientos tecnológicos.
4. Elaborar un análisis de impacto de los cambios en los requerimientos tecnológicos para
presentarlo a los grupos de trabajo responsables de iniciativas, proyectos y servicios de
TIC que se vean involucrados y, de ser necesario, al Grupo de trabajo para la dirección
de TIC.
5. Asegurarse que los datos de los requerimientos tecnológicos en su estado inicial ysus
diversas actualizaciones queden registrados en el Repositorio de
requerimientostecnológicos.

1.1 "Documento de roles y responsabilidades del Grupo de trabajo de
arquitecturatecnológica", formato sugerido: anexo 3, formato 1.
1.2 "Directrices rectoras para la arquitectura tecnológica", formato sugerido: anexo
3, formato2.
1.3 "Programa de tecnología", conforme al formato que defina la Institución.
1.4 "Documento del mecanismo de seguimiento al desarrollo tecnológico y sus
tendencias",conforme al formato que defina la Institución.
1.5 "Repositorio de requerimientos tecnológicos", definido por la Institución.
1.1 Responsable del proceso DDT- Determinación de la dirección tecnológica.
1.2 Grupo de trabajo de arquitectura tecnológica.
Frecuenc
Nombre Objetivo Descripción Clasificación Fórmula Responsable ia
decálculo
Eficiencia dela Determin Determinar Dimensión:Eficien % de incidencia El Responsable Trimestral
arquitecturatecnológi ar laeficiencia cia. =(Número de delproceso DDT- .
ca. laeficienci delproceso por Tipo: ajustespor factores Determinación
a lamedición de noconsiderados /Núm dela
delproces losajustes que De gestión. ero de ajustestotales) direccióntecnológi
o. seefectúen a X 100 ca.
laarquitecturatecnológi
ca.

5.2 CN - CONTROL
General:
Establecer mecanismos de seguimiento y evaluación de la ejecución de la planeación estratégica de
TIC, así como acciones de mejora a partir de sus resultados.
Específicos:
1. Establecer un sistema que permita evaluar la operación y servicios de TIC, mediante la definición
deindicadores y el seguimiento a éstos.
2. Proporcionar informes de resultados de la operación de los procesos y de los servicios de TIC, asícomo del
avance en el cumplimiento de objetivos.
3. Establecer acciones de mejora para prevenir o corregir desviaciones, así como dar seguimiento a
lasmismas.
AE-1 Establecer el sistema de evaluación de TIC

Descripción Establecer los indicadores que integrarán el sistema de evaluación de TIC.
Factorescríticos El Responsable del sistema de evaluación de TIC, con apoyo de los
Responsables de los procesos del "Marco rector de procesos en materia de TIC",
deberá:
1. Integrar el Documento de indicadores del sistema de evaluación de TIC, considerando
los siguientes elementos:
a) Los indicadores de los procesos del Manual.
b) El diseño de indicadores para medir: proyectos y servicios de TIC; reducción decostos;
satisfacción de los usuarios; niveles de servicio y cumplimiento de losObjetivos
c) Los insumos que este proceso requiere de los demás procesos del Manual y
losproductos a entregar al proceso OSGP- Operación del sistema de gestión ymejora de
los procesos de la UTIC.
d) La forma de operar del sistema.
2. Obtener la aprobación del Responsable de este proceso para el establecimiento
delsistema de evaluación de TIC.
3. Revisar, al menos una vez al año, el diseño de los indicadores y forma de operar
delsistema de evaluación de TIC, de manera que se asegure su consistencia
eintegralidad.
4. Difundir el Documento de indicadores del sistema de evaluación de TIC entre elRecurso
humano en la UTIC y usuarios involucrados.
5. Sensibilizar al Recurso humano en la UTIC y usuarios sobre la importancia de
laevaluación de TIC a través de los indicadores establecidos.
AE-2 Alinear los insumos y las métricas

Descripción Establecer los insumos y las métricas de cada indicador de proyectos y servicios de
TIC,de manera que sean consistentes con los indicadores de los procesos del
presenteManual.
Factorescríticos El Responsable del sistema de evaluación de TIC deberá:
1. Identificar los insumos y las métricas de los indicadores.
2. Establecer, para cada métrica, su identificación y características: nombre,
categoría,unidad de medida, periodicidad de recolección, valores máximos y
mínimos;responsable del diseño de cada métrica e indicador, entre otros atributos de
lasmétricas.
3. Especificar las fórmulas de cálculo de las métricas y los indicadores.
4. Establecer los valores máximos y mínimos de cada nivel de desempeño de
losindicadores.
5. Integrar las definiciones de los factores anteriores en el Documento de métricas
yfórmulas de cálculo del sistema de evaluación de TIC.
6. Obtener del Titular de la UTIC la aprobación del Documento de métricas y fórmulas de
cálculo del sistema de evaluación de TIC.
7. Difundir el Documento de métricas y fórmulas de cálculo del sistema de evaluación de
TIC entre el Recurso humano en la UTIC y usuarios involucrados.
8. Verificar la vigencia de las métricas al menos una vez al año.
AE-3 Especificar los mecanismos de recolección y almacenamiento

Descripción Identificar las fuentes de los datos que son insumo de las métricas y establecer cómo
seobtienen y almacenan.
1. Integrar el Documento de mecanismos de recolección y almacenamiento de datos, con
los elementos siguientes:
a) Identificación de las fuentes de los datos: el proceso que provee el dato, elresponsable
que provee el dato, la periodicidad con la que se provee el dato y laforma en que éste
se entrega.
b) Definición e implantación de las Herramientas para la recolección yalmacenamiento de
datos.
2. Verificar que la totalidad de las métricas cuentan con una fuente de datos.
3. Obtener la aprobación del Titular de la UTIC del Documento de mecanismos
4. Difundir el Documento de mecanismos de recolección y almacenamiento de datos,entre
el Recurso humano en la UTIC y usuarios involucrados.
5. Revisar y, en su caso, actualizar métricas e indicadores al menos una vez al año.
AE-4 Especificar los métodos de análisis

Descripción Especificar los métodos para el análisis y reporte de los datos del sistema de
evaluación de TIC.
1. Seleccionar métodos y herramientas para el análisis de datos e integrarlos en
elDocumento de Métodos de análisis del sistema de evaluación de TIC, considerando:
a) La naturaleza de los datos que serán insumo del sistema, de manera que permitan el
cálculo y análisis de métricas e indicadores.
b) La forma y plazos en que se revisarán los métodos seleccionados.
c) Que las Herramientas de análisis de datos permitan una elaboración ágil de losInformes
de medición y análisis.
2. Especificar y priorizar los requerimientos de información y reportes que
debangenerarse.
3. Definir el contenido y formato de la información requerida por los métodos de
análisisseleccionados.
4. Efectuar, al menos una vez al año, la revisión de métricas, indicadores, informes y dela
forma para evaluar los resultados del análisis de datos, así como de los
informesestablecidos.
AE-5 Establecer el Repositorio de métricas

Descripción Establecer y mantener actualizado el Repositorio de métricas del sistema de
evaluación de TIC.

2. Diseñar e implantar el Repositorio de métricas como un componente del sistema
deconocimiento, de acuerdo al proceso ACNC- Administración del conocimiento.
3. Especificar la forma en que se almacenarán, actualizarán y recuperarán las métricas y
la información para interpretarlas y evaluarlas.
4. Mantener disponible y actualizado el Repositorio de métricas, con la información que se
genere por las actividades del presente proceso.
5. Revisar, al menos una vez al año, la integridad de la información contenida en
elRepositorio de métricas.
AE-6 Recolectar y revisar los datos insumo para las métricas
Descripción Obtener los datos que son insumo para las métricas y analizar e interpretar los mismos.
1. Extraer del Repositorio de métricas los datos de insumo para las métricas.
2. Revisar la integridad y exactitud de los datos de insumo.
3. Analizar e interpretar los datos.
4. Almacenar datos e información de acuerdo con lo señalado en las actividades AE-3
yAE-5 de este proceso.
5. Integrar el Reporte de resultados de la revisión, el cual deberá contener la lista
deverificación de los datos insumo para la totalidad de las métricas, de acuerdo a
losresultados del análisis y la interpretación de los datos.
AE-7 Elaborar Informes de medición y análisis

Descripción Elaborar los informes de resultados de la evaluación de la ejecución de la
planeaciónestratégica de TIC.

1. Elaborar los Informes de medición y análisis de manera que muestren:
a) El resultado del análisis de los datos de insumo para las métricas y el cálculo
deindicadores.
b) Los riesgos relacionados con la capacidad de desarrollo de solucionestecnológicas, la
entrega de servicios de TIC y el nivel de cumplimiento de losobjetivos de los procesos.
c) La interpretación de los resultados.
d) Las conclusiones de la medición efectuada, incluyendo el impacto en los servicios de
TIC, los activos de TIC y los procesos.
2. Desarrollar, en caso de ser necesario, análisis complementarios, preparar losresultados
e integrar éstos a los Informes de medición y análisis.
3. Obtener el visto bueno del Responsable del sistema de evaluación de TIC, para
supresentación a los Responsables de los procesos del presente Manual.
AE-8 Comunicar resultados a los grupos de trabajo y al Recurso humano en la

UTICinvolucrado
Descripción Mantener informados al Grupo de trabajo para la dirección de TIC y a los grupos
de trabajo de la UTIC, de los resultados de la evaluación de la ejecución de la
planeación estratégica de TIC.
1. Consolidar los datos relevantes que muestren el grado en el que se están cumpliendo
los proyectos y servicios de TIC, en Informes ejecutivos de evaluación de TIC, que
reflejen el impacto de la gestión.
2. Integrar los controles y acciones realizadas para la mitigación de los riesgosidentificados
en la UTIC.
3. Mostrar en el Cuadro de mando integral de la UTIC los resultados de los indicadores.
4. Obtener del Responsable del sistema de evaluación de TIC, la aprobación de
losresultados consolidados de los informes ejecutivos.
El Responsable del sistema de evaluación de TIC deberá:
5. Elaborar las conclusiones finales sobre el impacto a los procesos, proyectos,recursos y
servicios de TIC.
6. Dar a conocer, en forma oportuna y confiable los Informes ejecutivos de evaluación de
TIC, a los Responsables de los procesos de la UTIC y a los miembros de los grupos de
trabajo establecidos en cada proceso, así como las acciones que se realizaron para
mitigar los riesgos que se materializaron.
AE-9 Implementar acciones de mejora

Descripción Identificar desviaciones y oportunidades de mejora en los proyectos y servicios de
TIC,con base en los Informes ejecutivos de evaluación de TIC, para definir e
implementar lasacciones correctivas y preventivas.
1. Identificar desviaciones y oportunidades de mejora, con base en los Informesejecutivos
de evaluación de TIC.
2. Determinar, con la participación del Recurso humano en la UTIC involucrado,
lasacciones correctivas y preventivas e integrarlas en el Programa de
mejora,incorporando actividades para revisiones periódicas.
3. Definir los resultados esperados de la implementación del Programa de mejora.
4. Coordinar a los involucrados en la ejecución del Programa de mejora.
5. Evaluar los resultados del Programa de mejora y comunicar al Titular de la UTIC y a los
responsables de proyectos y servicios de TIC dichos resultados y su evaluación, que
incluirá:
a) El comparativo de los resultados esperados y de los obtenidos.
b) Las lecciones aprendidas.
c) Las conclusiones documentadas.
5.2.1.2 Relación de productos

1.1 "Documento de Indicadores del sistema de evaluación de TIC", formato sugerido:
anexo 4, formato 1.
1.2 "Documento de métricas y fórmulas de cálculo del sistema de evaluación de TIC",
1.3 "Documento de mecanismos de recolección y almacenamiento de datos",
formato sugerido: anexo 4, formato 3.
1.4 "Herramientas para la recolección y almacenamiento de datos", definidas por
la Institución.
1.5 "Documento de métodos de análisis del sistema de evaluación de TIC", conforme
al formato que defina la Institución.
1.6 "Herramientas de análisis de datos", definidas por la Institución.
1.7 "Repositorio de métricas", definido por la Institución.
1.8 "Reporte de resultados de la revisión", formato sugerido: anexo 4, formato 4.
1.9 "Informes de medición y análisis", formato sugerido: anexo 4, formato 5.
1.10 "Informes ejecutivos de evaluación de TIC", formato sugerido: anexo 4, formato 6.
1.11 "Programa de mejora", formato sugerido: anexo 4, formato 7.
1.1 Responsable del proceso AE- "Administración de la evaluación de TIC".
1.2 Responsable del sistema de evaluación de TIC.
1.3 Analista de evaluación de TIC.
Frecuencia de
cálculo
Resultadodel Conocer Medir Dimensión:Eficiencia % de El Semestral

sistemadeevaluaciónd laeficiencia lasdesviacione . eficiencia=(Desviacione Responsable .
e TIC. conla que s Tipo: s yoportunidades delsistema
estáoperando yoportunidades demejora resueltos deevaluació
elsistema demejora De gestión. pormedio del sistema n de TIC.
deevaluaciónd resueltaspor deevaluación de TIC
e TIC. medio /Desviaciones
delsistema yoportunidades
deevaluación demejora
deTIC. identificadospor medio
del sistemade
evaluación de TIC)X
100
1.2 El Responsable de este proceso, a través del Responsable del sistema de evaluación
de TIC deberá asegurarse que el sistema de evaluación de TIC sea consistente con los
demássistemas de evaluación de la Institución.
5.2.2 ARTI - Administración de riesgos de TIC

General:
Disminuir el impacto de eventos adversos en materia de TIC, que podrían afectar el logro de los
objetivos de la Institución.
Específicos:
1. Establecer en la UTIC la administración de riesgos de TIC para identificar, analizar, evaluar, atender
ymonitorear los riesgos en esa materia.
2. Contar, mediante la administración de riesgos de TIC, con información consistente y oportuna para latoma
de decisiones sobre la mitigación de los mismos.
ARTI-1 Establecer la Directriz rectora de administración de riesgos de TIC

Descripción Establecer la Directriz rectora de administración de riesgos de TIC.
Factorescríticos El Responsable de este proceso, con apoyo del Grupo de trabajo estratégico
deTIC, deberá:
1. Establecer el Grupo de trabajo de riesgos de TIC, mediante el Documento dedescripción
de roles y responsabilidades del Grupo de trabajo de riesgos de TIC yasegurar que éste
contenga, al menos, lo siguiente:
a) El alcance, objetivos y responsabilidades del grupo, los roles y responsabilidades de sus
miembros, así como el funcionamiento del mismo.
b) El señalamiento de que será el Titular de la UTIC, quien presidirá el grupo.
c) El compromiso de comunicar el establecimiento del grupo a los integrantes de laUTIC.
El Grupo de trabajo de riesgos de TIC deberá:
2. Identificar, en el ambiente interno y externo, los riesgos que en materia de TIC podrían
presentarse en la Institución, de manera particular en:
a) Los estándares y modelos de referencia adoptados por la Institución en materia de TIC.
b) Los objetivos y estrategias definidas en materia de TIC.
c) Las soluciones tecnológicas y flujos existentes de información en la Institución.
d) Los procesos del presente Manual.
e) Las disposiciones jurídicas en materia de TIC.
Al efectuar la identificación se podrán considerar, como factores que pudieran sercausa
raíz de riesgos: los administrativos, legales, de presupuesto, financieros,tecnológicos,
económicos, fenómenos naturales, de imagen u otros que se identifiquen de acuerdo a
la naturaleza de la Institución.
3. Elaborar la Directriz rectora de administración de riesgos de TIC, mediante lassiguientes
acciones:
a) Integrar los antecedentes y demás elementos que justifiquen la necesidad deimplantar la
administración de riesgos de TIC en la Institución.
b) Integrar los riesgos identificados conforme al factor crítico anterior.
c) Definir las metodologías y herramientas que se usarán para administrar los riesgos en
materia de TIC.
d) Integrar el marco normativo que resulta aplicable a los riesgos identificados.
e) Establecer umbrales de tolerancia al riesgo en materia de TIC en la Institución.
f) Establecer mecanismos para medir la administración de riesgos de TIC.
g) Establecer las acciones para corregir las desviaciones de los límites de exposición al
riesgo, así como los ajustes preventivos a los niveles de tolerancia al riesgo.
h) Establecer la forma y periodicidad en que se informará a los grupos de
trabajoinvolucrados y a los usuarios, sobre los riesgos en materia de TIC a los que
seencuentran expuestos los procesos y servicios que utilizan.
i) Establecer consideraciones sobre riesgos en materia de TIC, para la toma dedecisiones
estratégicas de la Institución.
4. Asegurarse que la Directriz rectora de administración de riesgos de TIC
permanezcaactualizada, mediante:
a) La revisión de su alineación con la estrategia de administración de riesgos de
laInstitución.
b) La verificación de las acciones a ejecutarse en caso de incumplimiento en
laadministración de un riesgo en materia de TIC.
c) La revisión de los reportes de gestión de este proceso, misma que se realizará, al
menos, cada seis meses.
5. Enviar al Grupo de trabajo para la dirección de TIC, para su aprobación, la
Directrizrectora de administración de riesgos de TIC.
6. Difundir la Directriz rectora y sus actualizaciones a los involucrados, a fin de asegurar
que sea conocida por los mismos.
7. Establecer el Repositorio de riesgos de TIC e integrar la información de la
Directrizrectora de administración de riesgos de TIC.
ARTI-2 Evaluar los riesgos e integrarlos en Matrices de riesgos de TIC

Descripción Identificar, clasificar y priorizar los riesgos de TIC que permitan evaluar los
impactos sobre los procesos y los servicios de TIC de la Institución.
1. Recopilar los datos relevantes relacionados con los riesgos de TIC, tales como:
a) Incidentes documentados que hayan tenido algún impacto en la Institución.
b) Descripción de los riesgos del Activo de TIC a evaluar.
c) Controles actualmente implantados en los Activos de TIC a evaluar.
2. Identificar y clasificar las amenazas y riesgos en materia de TIC, conforme a losiguiente:
a) No causadas por el hombre:
i. Fallas de TIC o de infraestructura de soporte.
ii. Desastres naturales.
b) Causados por el hombre:
i. Dolosas, realizadas con la intención de causar un daño.
ii. Culposas, realizadas sin intención de causar un daño.
3. Identificar los factores de riesgo que afecten a la Institución, de acuerdo a las
causasraíz identificadas en la Directriz rectora de administración de riesgos de TIC.
4. Identificar y analizar escenarios de riesgo de TIC que permitan evaluar y obtener
losimpactos potenciales, considerando, entre otros, los elementos siguientes:
a) Tipo de amenaza y agente que la provoca.
b) Severidad del riesgo en función del proceso, proyecto, activo o servicio de TICque
impacta.
c) Nivel de impacto a la Institución (en términos de imagen al ciudadano y
susorganizaciones, así como en términos de intercambio de servicios con
otrasinstituciones).
d) Nivel de impacto de la implantación de los controles.
e) Costo de la implantación de los controles.
f) Probabilidad de que se materialice el riesgo.
5. Priorizar para cada riesgo, considerando los elementos previstos en el factor
críticoanterior.
6. Integrar las Matrices de riesgos de TIC, con la información derivada de esta actividad,
definiendo para cada riesgo, el tratamiento del mismo (control o controles a implantar).
7. Actualizar el Repositorio de riesgos de TIC con la información de las Matrices deriesgos
de TIC.
8. Incorporar las Matrices de riesgos de TIC a la administración de riesgos de TIC.
ARTI-3 Establecer las acciones de respuesta a los riesgos de TIC

Descripción Establecer las acciones de respuesta a los riesgos de TIC, de acuerdo al
tratamientodefinido.
1. Seleccionar una de las siguientes opciones para el tratamiento que se le dará al riesgo:
a) Aceptar el riesgo: No se efectúa acción debido a que se considera que el nivel de riesgo
está dentro de los niveles aceptables.
b) Evitar el riesgo: Se elimina la causa que produce el riesgo.
c) Transferir el riesgo: Se transfiere y comparte el riesgo.
d) Mitigar el riesgo: Se implementan acciones para reducir el riesgo a un nivelaceptable.
2. Definir las acciones preventivas y correctivas, y correlacionarlas para cada uno de los
escenarios de riesgos identificados.
3. Integrar el documento Declaraciones de aplicabilidad, con las acciones definidas en el
factor crítico anterior.
4. Definir Programas de mitigación de riesgos de TIC de acuerdo a las Declaraciones de
aplicabilidad ya definidas. Deberán contener la calendarización de las actividades, y los
responsables de cada una de ellas, para implantar los controles de mitigacióndefinidos.
5. Verificar el estado de los controles de riesgos de TIC, considerando que un control se
encuentra operando cuando ha sido difundido e implantado y está evitando, mitigando,
previniendo o transfiriendo el o los riesgos para los que fue instrumentado.
6. Definir un Programa de contingencia para hacer frente a los eventos o
incidentesprovenientes de la posible materialización de los riesgos identificados,
queconsiderará al menos:
a) La forma para la activación del Programa de contingencia al riesgo.
b) El equipo de respuesta al riesgo, los participantes y sus responsabilidades.
c) El responsable de la implantación y seguimiento del Programa de contingencia.
7. Verificar al finalizar las acciones de contingencia, que se efectúe el levantamiento
deinformación y realizar la evaluación del daño.
8. Actualizar el Repositorio de riesgos de TIC.
9. Verificar la adecuada implantación de los controles definidos en los Programas
demitigación y en el Programa de contingencia, al menos una vez al año.

1.1 "Documento de descripción de roles y responsabilidades del Grupo de trabajo de
riesgosde TIC", formato sugerido: anexo 5, formato 1.
1.2 "Directriz rectora de administración de riesgos de TIC", formato sugerido: anexo
5, formato 2.
1.3 "Matrices de riesgos de TIC", formato sugerido: anexo 5, formato 3.
1.4 "Declaraciones de aplicabilidad", formato sugerido: anexo 5, formato 4.
1.5 "Programas de mitigación de riesgos", formato sugerido: anexo 5, formato 5.
1.6 "Programa de contingencia", formato sugerido: anexo 5, formato 6.
1.7 "Repositorio de riesgos de TIC", definido por la Institución.

1.1 Responsable del proceso ARTI- Administración de riesgos de TIC.
1.3 Grupo de trabajo de riesgos de TIC.

Frecuencia de
cálculo
Cumplimiento Obtener Medir elcumplimiento enla Dimensión:Eficienci % de El Anual
dela laeficienciad implantación delos a. eficiencia=(Controlesimplanta Responsable .
administración el proceso. controlesestablecidosdura Tipo: dos /Controlesprogramados delproceso
de riesgos nte elproceso. De gestión. parasu implantación) X100 ARTI-
deTIC. Administració
n deriesgos
de TIC.

1.2 El Grupo de trabajo de riesgos de TIC deberá revisar y actualizar, al menos una vez
al año, la Directriz rectora del proceso ARTI- Administración de riesgos de TIC.
1.3 El Grupo de trabajo de riesgos de TIC se deberá asegurar que las actividades, insumos
yproductos de este proceso sean consecuentes con lo previsto en el Acuerdo por el que
seemiten las Disposiciones en Materia de Control Interno y se expide el
Manual Administrativo de Aplicación General en Materia de Control Interno, en lo relativo
a la Administración de Riesgos.
5.3 PR - ADMINISTRACION DE PROYECTOS
5.3.1 APP - Administración del portafolio de proyectos de TIC
General:
Administrar iniciativas, programas y proyectos de TIC, a fin de optimizar la aplicación de los recursos
yobtener mayores beneficios para la Institución.
Específicos:
1. Establecer la gobernabilidad del portafolio de proyectos de TIC.
2. Establecer una visión integral de los proyectos de TIC que genere sinergias y beneficios desde
suplaneación y durante su ejecución.
3. Establecer las directrices para administrar el portafolio de proyectos de TIC.
APP-1 Establecer directrices para la gobernabilidad y evaluación del portafolio

deproyectos de TIC
Descripción Definir las directrices para la asignación y uso de los recursos en proyectos de TIC.
1. Respecto a la gobernabilidad del portafolio de proyectos de TIC, tomar acuerdosacerca
de:
a) La fijación de prioridades de las iniciativas y los proyectos que las integran.
b) La asignación de presupuesto a las iniciativas, Programas de proyectos y deproyectos
de TIC y, en su caso, de las modificaciones a que haya lugar.
c) La definición de la alineación de las inversiones en proyectos de TIC con lasnecesidades
y objetivos de la Institución.
d) La autorización de nuevas Iniciativas de TIC; la suspensión, cambios ocancelación de
Programas de proyectos y de proyectos de TIC, o la reasignación de recursos entre
dichos programas y proyectos de TIC.
El Administrador del portafolio de proyectos de TIC deberá:
2. Respecto a la gobernabilidad del portafolio de proyectos de TIC, tomar
decisionesacerca de la pertinencia de fortalecer el proceso APTI- Administración de
proyectosde TIC.
El Administrador del portafolio de proyectos de TIC, con apoyo del Responsable
de la planeación estratégica de TIC y de los Administradores de proyecto, deberá:
3. Definir proyectos a partir de las Iniciativas de TIC.
4. Analizar las Iniciativas de TIC y sus proyectos, con el propósito de definir
aquéllossusceptibles de conformarse en Programas de proyectos.
5. Integrar el portafolio de proyectos, definiendo los diversos Programas de proyectos,así
como los proyectos de TIC que contendrá cada uno de dichos programas. Asociar los
Programas de proyectos, y los proyectos a las iniciativas de las que derivan e identificar
los proyectos que se administrarán individualmente.
6. Difundir el estado que guarda el portafolio de proyectos de TIC, por medio de unTablero
de control de proyectos.
7. Priorizar y equilibrar el portafolio de proyectos de TIC, a efecto de optimizar el uso delos
recursos.
8. Dar seguimiento al portafolio, a fin de prever riesgos y desviaciones.
9. Clasificar por grupos y categorías las Iniciativas de TIC.
10. Definir en el Documento de criterios de evaluación de iniciativas de TIC, la forma
deevaluar las Iniciativas de TIC, para determinar su importancia, considerando para ello,
su contribución a los objetivos y estrategias de la Institución, sus riesgos, aspectos
normativos y técnicos, así como la viabilidad de la Institución para adoptar los productos
o servicios de la Iniciativa de TIC.
11. Definir la forma en que se evaluarán las categorías de Iniciativas de TIC, paradeterminar
un orden para la selección de Iniciativas de TIC.
El Titular de la UTIC deberá:
12. Presentar el portafolio de proyectos de TIC al Grupo de trabajo para la dirección de TIC,
para su autorización.
APP-2 Identificar y documentar Iniciativas de TIC

Descripción Dar seguimiento a las Iniciativas de TIC durante su ciclo de vida.
Factorescríticos El Administrador del portafolio de proyectos de TIC deberá:
1. Mantener actualizado el registro de las Iniciativas de TIC y sus proyectos, así como el
de los Programas de proyectos a los que éstas pertenezcan, mediante
elestablecimiento y actualización del Repositorio del portafolio de proyectos de TIC.
2. Identificar e integrar las Iniciativas de TIC, incluyendo:
a) Las obtenidas en el proceso PE- Planeación estratégica de TIC.
b) Las provenientes de las necesidades de desarrollo de nuevos servicios de TIC ode
ajustes a los servicios ya existentes.
c) Las relativas a la continuidad de los servicios de TIC.
d) Las de mantenimiento de la infraestructura tecnológica y soporte.
3. Mantener ordenadas las Iniciativas de TIC, de acuerdo a los grupos y
categoríasdefinidos en el Documento de criterios de evaluación de iniciativas de TIC.
4. Integrar al Repositorio del portafolio de proyectos de TIC, cada Iniciativa de
TIC,considerando como mínimo la información siguiente:
a) Identificación (nombre, Unidad administrativa solicitante y, en su caso, la
unidadadministrativa que la promueve).
b) Alcance de alto nivel (objetivos de la Iniciativa de TIC, alcance, cronograma de alto nivel,
objetivos estratégicos a los que contribuye la Iniciativa de TIC, beneficios cuantitativos y
cualitativos, riesgos, recursos requeridos y entregables).
c) Organización de gobernabilidad sugerida para la ejecución de la Iniciativa de TIC.
d) Responsable de la iniciativa de TIC.
e) La relativa a su seguimiento (el estado que guarda y los cambios aprobados a
laIniciativa de TIC).
5. Supervisar que se elaboren los Casos de negocio con información suficiente
paraevaluar, seleccionar y priorizar las Iniciativas, incluidos los beneficios esperados
porla Institución y los indicadores asociados, así como que en su elaboración
participen el Responsable de la iniciativa de TIC y la Unidad administrativa solicitante.
6. Evaluar, al menos semestralmente durante todo el ciclo de vida de las Iniciativas de TIC,
que los Casos de negocio se mantengan actualizados con respecto a los cambios en la
planeación estratégica, el entorno, costos, riesgos y beneficios esperados.
7. Presentar al Grupo de trabajo para la dirección de TIC, la información de
impactorespecto a los cambios en los Casos de negocio, a fin de que evalúe y, en su
caso,apruebe, si se continúa con la ejecución de las Iniciativas de TIC.
8. Integrar los Casos de negocio en el Repositorio del portafolio de proyectos de
TIC,incluyendo sus actualizaciones.
APP-3 Evaluar, seleccionar y priorizar Iniciativas de TIC

Descripción Evaluar las Iniciativas de TIC para priorizar y seleccionar aquéllas que serán
propuestas al Grupo de trabajo para la dirección de TIC, a efecto de obtener su
autorización.
Factorescríticos El Administrador de portafolio de proyectos de TIC deberá:
1. Evaluar cada Iniciativa de TIC de acuerdo con la categoría a la que pertenezcan.
2. Registrar el resultado de las evaluaciones y presentarlo al Grupo de trabajo para
ladirección de TIC.
3. Emitir recomendaciones sobre las Iniciativas de TIC, con base en los informes
delproceso AE- Administración de la evaluación de TIC.
4. Seleccionar las Iniciativas de TIC que serán propuestas al Grupo de trabajo para
ladirección de TIC para su priorización y, en su caso, autorización. Para llevar a
cabodicha selección elaborará, cuando menos, los análisis relativos a:
a) Los objetivos estratégicos que sustentan la Iniciativa de TIC.
b) Las funciones sustantivas que sustentan la Iniciativa de TIC.
c) La capacidad de recursos humanos.
d) La capacidad financiera y/o presupuestaria.
e) La capacidad de activos e infraestructura de TIC.
5. Integrar la información resultante de los factores anteriores en el Repositorio
delportafolio de proyectos de TIC y generar el Reporte de evaluación de iniciativas
de TIC, el cual podrá ser una vista del Repositorio antes mencionado.
APP-4 Priorizar, equilibrar y autorizar el portafolio de proyectos de TIC

Descripción Priorizar las Iniciativas de TIC que estén seleccionadas para su aprobación.
Factorescríticos El Grupo de trabajo para la dirección de TIC, respecto de las Iniciativas de
TICseleccionadas conforme a la actividad APP-3, deberá:
1. Revisar y analizar el resultado de la evaluación de las Iniciativas de TIC.
2. Determinar o confirmar la prioridad de las Iniciativas de TIC.
3. Autorizar las iniciativas de TIC, sin perjuicio del cumplimiento de las
disposicionesjurídicas aplicables a la contratación de los bienes y/o servicios requeridos
para suimplantación.
4. Establecer y mantener actualizado el Repositorio del portafolio de proyectos de TIC,con
las Iniciativas de TIC autorizadas por el Grupo de trabajo para la dirección de TIC.
5. Equilibrar y, en su caso, ajustar el portafolio de proyectos de TIC, mediante la revisión a
los informes de rendimiento de los Programas de proyectos previstos en la actividad
APP-6, con el propósito de sugerir al Grupo de trabajo para la dirección de TIC, un
cambio de prioridad o la continuación, suspensión o cancelación de iniciativas, de
Programas de proyectos, y de proyectos de TIC.
6. Someter a la autorización del Grupo de trabajo para la dirección de TIC, el portafolio de
proyectos de TIC que haya sido ajustado.
7. Designar responsables para cada iniciativa, Programa de proyectos o proyecto de TIC
autorizado.
8. Comunicar al Recurso humano en la UTIC que se encuentre involucrado en
esteproceso, los acuerdos tomados por el Grupo de trabajo para la dirección de TIC,
asícomo el seguimiento del portafolio de proyectos de TIC.
9. Elaborar una Bitácora de cambios al portafolio de proyectos de TIC para actualizar
elRepositorio del portafolio de proyectos de TIC, así como disponer de una vista de éste
para el seguimiento del Tablero de control de proyectos de TIC.
APP-5 Administrar Programas de proyectos y proyectos de TIC
Descripción Administrar Programas de proyectos, así como proyectos de TIC, en los que se
integran las Iniciativas de TIC, orientando las acciones a una coordinación optimizada de
las actividades de administración de los mismos.
Factorescríticos El Responsable de la Administración del programa de proyectos, respecto de
cada Programa de proyectos de TIC, deberá:
1. Revisar la información relativa a la Iniciativa de TIC que se integre al Programa
deproyectos de TIC a conformar, para lo cual:
a) Identificará y evaluará las alternativas establecidas en el Caso de negocio,considerando
los beneficios, costos, riesgos y tiempo de ejecución de cada unade ellas.
b) Identificará la alternativa de mayor potencial de valor y considerará lasrestricciones de
tiempo y costo para realizar la selección.
c) Documentará la selección efectuada.
2. Determinar los proyectos que integrarán un Programa de proyectos de TIC para
larealización de una o más Iniciativas de TIC y elaborar la justificación del
mismo,tomando en cuenta la descripción del o de los Casos de negocio de cada una de
lasiniciativas a la que pertenezcan los proyectos.
3. Elaborar un Cronograma ejecutivo para el Programa de proyectos de TIC de
lasIniciativas de TIC, que muestre la duración y las fechas de inicio y fin de
cadaproyecto. Dicho cronograma deberá incluir hitos de control y riesgos
potenciales, para el seguimiento puntual de dicho programa.
4. Asegurarse de que se cuente con las autorizaciones y designaciones relativas a
laadministración del portafolio de proyectos de TIC, para el inicio de un Programa
deproyectos de TIC y sus proyectos.
5. Elaborar la Estrategia para administrar el Programa de proyectos de TIC, con
laparticipación de las unidades administrativas solicitantes e involucradas respecto de la
misma.
6. Elaborar la Estrategia para concretar los beneficios, en la que se deberán definir:
a) Las líneas de acción orientadas al logro de los beneficios esperados,considerando la
maximización de recursos y la mitigación de riesgos.
b) Para cada resultado clave del Programa de proyectos de TIC, al responsable
delresultado, la fecha estimada de obtención del resultado y el mecanismo
deseguimiento.
c) Los beneficios esperados para cada Programa de proyectos de TIC, por resultado clave
del mismo, los riesgos que pueden representar una amenaza para el cumplimento de
los resultados y las acciones de mitigación correspondientes.
7. Dar seguimiento al Programa de proyectos de TIC, desde su inicio y hasta suconclusión,
para asegurar que la ejecución se lleve de acuerdo a las estrategiasdefinidas.
8. Administrar las eventualidades que se presenten en la ejecución del Programa
deproyectos de TIC, tales como: cambios controlados, incidentes o riesgos que
sematerialicen.
9. Elaborar el Informe de seguimiento y control del programa de proyectos, el cual deberá
incluir: los resultados del análisis comparativo entre el avance real y el planeado, así
como los beneficios obtenidos.
10. Distribuir el Informe de seguimiento y control del programa de proyectos a
losinvolucrados.
11. Elaborar el Informe de rendimiento del Programa de proyectos, el cual deberá incluir los
indicadores definidos para la medición de su desempeño y la de los proyectos que lo
conforman.
12. Presentar en el Tablero de control de proyectos, la información del factor críticoanterior,
de manera que permita identificar niveles críticos y apoyar la definición deacciones
correctivas.
13. Evaluar los resultados de la Estrategia para concretar beneficios.
14. Definir y ejecutar acciones correctivas en caso de existir desviaciones en losresultados
de la evaluación a que se refiere el factor crítico anterior.
APP-6 Monitorear el desarrollo de Programas de proyectos y proyectos de TIC
Descripción Mantener un monitoreo constante del estado que guardan los proyectos de TIC, así
comosu repercusión en los resultados del Programa de proyectos, con el fin de identificar
ycontrolar las desviaciones y las eventualidades.
Factorescríticos El Administrador del portafolio de proyectos de TIC deberá:
1. Evaluar periódicamente el estado que guarda cada uno de los proyectos paradeterminar
su contribución al portafolio de proyectos de TIC y a los Programas deproyectos a los
que pertenezcan.
2. Elaborar, de acuerdo a la evaluación del factor crítico anterior, el Informe derendimiento
de los elementos del portafolio de proyectos de TIC, que incluya losresultados de la
ejecución de cada elemento (Documento de planeación del proyecto, sus, documentos
subsidiarios, así como su documentación complementaria), en función de lo planeado y
lo logrado.
3. Integrar y presentar trimestralmente al Grupo de trabajo para la dirección de TIC,
elInforme de rendimiento del portafolio de proyectos de TIC, mismo que
deberá contener al menos; información sintetizada del avance del portafolio de
proyectos, el resultado de los indicadores definidos para la medición del desempeño del
portafolio de proyectos y, en su caso, de las eventualidades o riesgos que se
presentaron. Este informe apoya el desarrollo de la actividad APP-4.
4. Actualizar con la información obtenida en el factor crítico anterior, el Tablero de control
de proyectos de TIC.
APP-7 Cerrar las Iniciativas de TIC

Descripción Concluir las Iniciativas de TIC, mediante la elaboración y presentación de un informe
finalque contenga la evaluación de los resultados y los beneficios obtenidos.
Factorescríticos El Administrador de portafolio de proyectos de TIC, con apoyo de
cadaResponsable de la iniciativa de TIC y de los Administradores de programas
deproyectos, deberá:
1. Revisar los resultados y la documentación final de los Programas de proyectos y delos
proyectos de TIC asociados a la iniciativa que se pretenda cerrar, comparando los
resultados obtenidos con los esperados de acuerdo a la medición prevista en el Caso
de negocio de la iniciativa.
2. Evaluar los beneficios de los Programas de proyectos de la Iniciativa de TIC, mediante
revisiones que se podrán efectuar una vez implementados los productos y servicios
objeto de la Iniciativa de TIC.
3. Elaborar con la información obtenida de los factores críticos anteriores, el Informe final
de la iniciativa de TIC que incluya las lecciones aprendidas.
4. Comunicar el Informe final de la iniciativa de TIC a los involucrados en las acciones de
mejora continua de proyectos y servicios de TIC, así como en los procesos de la UTIC.

1.1 "Documento de criterios de evaluación de iniciativas de TIC", formato sugerido: anexo
6,formato 1.
1.2 "Caso de negocio", formato sugerido: anexo 6, formato 2.
1.3 "Reporte de evaluación de iniciativas de TIC", formato sugerido: anexo 6, formato 3.
1.4 "Repositorio del portafolio de proyectos de TIC", definido por la Institución.
1.5 "Bitácora de cambios al portafolio de proyectos de TIC", formato sugerido: anexo
6, formato 4.
1.6 "Tablero de control de proyectos de TIC", definido por la Institución.
1.7 "Cronograma ejecutivo para el programa de proyectos de iniciativas de TIC",
1.8 "Informe de seguimiento y control del programa de proyectos", formato sugerido: anexo
6,formato 6.
1.9 "Informe de rendimiento del programa de proyectos", formato sugerido: anexo
6, formato 7.
1.10 "Estrategia para administrar el programa de proyectos", conforme al formato que defina
laInstitución.
1.11 "Estrategia para concretar los beneficios", conforme al formato que defina la Institución.
1.12 "Informe de rendimiento de los elementos del portafolio de proyectos de
TIC", formatosugerido: anexo 6, formato 8.
1.13 "Informe de rendimiento del portafolio de proyectos de TIC", formato sugerido: anexo
6,formato 9.
1.14 "Informe final de la iniciativa de TIC", conforme al formato que defina la Institución.

1.2 Administrador del portafolio de proyectos de TIC.
1.3 Unidad administrativa solicitante.
1.4 Unidad administrativa que promueve la iniciativa.
1.5 Responsable de la administración del programa de proyectos.
1.6 Responsable de la iniciativa de TIC.
Frecuencia de
cálculo
Cumplimiento de Conocer la Medir la eficiencia Dimensión: % de eficiencia= El Administrador Semestral.
los beneficios de eficiencia de del proceso por Eficiencia. (Número de del portafolio de
Iniciativas y acuerdo a las los beneficios Tipo: beneficios proyectos de TIC.
Programas de estrategias alcanzados. De gestión. alcanzados /
proyectos. de realización Número total de
de beneficios. beneficios
establecidos en
las Iniciativas y los
Programas de
proyectos del
portafolio de
proyectos de TIC)
X 100

1.1 El Administrador del portafolio de proyectos de TIC es el Responsable de este proceso.
1.2 El Administrador del portafolio de proyectos de TIC designará, para cada proyecto que
seautorice, al Administrador de proyecto.
5.3.2 APTI - Administración de proyectos de TIC

General:
Obtener los resultados esperados de los proyectos de TIC, mediante una administración efectiva y
lacorrecta aplicación de conocimientos, habilidades, herramientas, técnicas y recursos en el desarrollo
de las actividades de los proyectos, para cumplir los objetivos de las iniciativas y Programas de proyectos.
Específicos:
1. Contar con un documento de planeación para cada proyecto autorizado, con el propósito de dirigir
laejecución del proyecto a la obtención de los resultados esperados.
2. Evitar desviaciones en lo planeado, optimizar recursos, mitigar riesgos y preservar la seguridad de
lainformación durante la ejecución de los proyectos de TIC.
APTI-1 Iniciar el proyecto

Descripción Realizar las acciones que permitan iniciar la ejecución de cada proyecto que se autorice.
Factorescríticos El Administrador de proyecto deberá:
1. Obtener y analizar los antecedentes y la información disponible del proyecto asignado,
para conocer, entre otros aspectos, su alcance, objetivos y beneficios esperados.
2. Identificar proyectos relacionados con el proyecto asignado, para
determinarinterdependencias, coordinar esfuerzos, identificar riesgos y explorar
alternativas quepermitan evitar conflictos entre los proyectos durante su ejecución.
3. Identificar a quienes pudieran resultar afectados o beneficiados con el desarrollo
delproyecto, a fin de conocer sus expectativas sobre el proyecto y, en caso
necesarioconciliarlas considerando los objetivos y alcances del proyecto.
4. Elaborar y difundir el Acta de constitución del proyecto, para formalizar su inicio y
ladesignación formal del Administrador de proyecto.
APTI-2 Definir el ciclo de vida del proyecto y registrarlo

Descripción Analizar las características del proyecto y definir su ciclo de vida.
1. Determinar el ciclo de vida del proyecto, considerando entre otros factores:
a) El tamaño y complejidad del proyecto.
b) Las restricciones del proyecto, tales como: el tiempo para su ejecución, losobjetivos de
calidad, entre otros.
c) La experiencia del equipo de trabajo en el manejo de las tecnologías a emplear y de los
productos a desarrollar.
d) La información existente relacionada con el proyecto (lecciones aprendidas,modelos de
estimación y mecanismos de comunicación, entre otras).
e) Los Modelos de ciclo de vida registrados como activos de este proceso, mediante el
proceso OSGP- Operación del sistema de gestión y mejora de los procesos de la UTIC.
2. Elaborar el Documento del ciclo de vida del proyecto y asegurarse que se
actualicentanto el Repositorio central de proyectos como el Tablero de control de
proyectos deTIC, con la información de dicho documento.
3. Revisar el ciclo de vida del proyecto, conforme al proceso OSGP- Operación delsistema
de gestión y mejora de los procesos de la UTIC y, de requerirse algún cambio,
actualizar el Documento del ciclo de vida del proyecto, el Repositorio central de
proyectos y el Tablero de control de proyectos de TIC.
4. Identificar y registrar en el Repositorio central de proyectos, el Ambiente de
trabajonecesario para el desarrollo del proyecto (servidores, equipos de desarrollo,
equiposde pruebas, herramientas e infraestructura, entre otros).
APTI-3 Detallar el alcance del proyecto

Descripción Recolectar, analizar y definir las necesidades y características del proyecto.
1. Precisar con los involucrados el alcance del proyecto, en función del producto aentregar,
documentando de manera detallada, los objetivos, necesidades,características,
supuestos, restricciones, requerimientos, criterios de aceptación paralos entregables y
fases del proyecto, así como el alcance de los productos delproyecto.
2. Determinar, con su Equipo de trabajo y otros involucrados, el alcance del trabajo
adesarrollar, considerando la información del factor crítico anterior.
3. Elaborar la Estructura de desglose del trabajo- EDT, representando en ésta el alcance
total del proyecto, incluyendo la definición de paquetes de trabajo.
APTI-4 Elaborar el Documento de planeación del proyecto

Descripción Establecer las actividades que se realizarán para la ejecución, seguimiento y control
delproyecto a lo largo de su ciclo de vida.
Factorescríticos El Administrador de proyecto, con apoyo de su Equipo de trabajo, deberá:
1. Elaborar el cronograma del proyecto a partir de la Estructura de desglose del trabajo-
EDT, considerando las restricciones del proyecto.
2. Elaborar una propuesta de presupuesto para el proyecto, a partir del
cronogramaelaborado y, en caso necesario, propone ajustar el alcance del proyecto.
3. Elaborar el Documento de planeación del proyecto, el cual integrará: alcance,propuesta
de presupuesto, Estructura de desglose del trabajo- EDT, cronograma,Ambiente de
trabajo del proyecto, supuestos, interdependencias, restricciones, asícomo los
documentos de planeación subsidiarios.
4. Someter a aprobación del Administrador del portafolio de proyectos de TIC,
elDocumento de planeación del proyecto.
5. Dar a conocer a los involucrados del proyecto el Documento de planeación delproyecto,
así como los cambios que se realicen al mismo durante la ejecución delproyecto.
6. Establecer y mantener el control sobre las líneas base del Documento de planeacióndel
proyecto.
7. Actualizar el avance del proyecto en el Documento de planeación del proyecto y en el
Repositorio central de proyectos, en las fechas de los hitos de control del cronograma y
documentos de planeación subsidiarios.
APTI-5 Administrar los riesgos del proyecto

Descripción Eliminar o minimizar los riesgos del proyecto por medio de un proceso sistemático
deplaneación, identificación, análisis, respuesta, monitoreo y control por parte de las
áreas de la UTIC o unidades administrativas involucradas.
Factorescríticos El Administrador de proyecto y su Equipo de trabajo, deberán:
1. Identificar riesgos del proyecto, de manera iterativa.
2. Clasificar riesgos por tipo y agruparlos de acuerdo con la causa raíz, para
elaborarpropuestas que los mitiguen o eliminen.
3. Determinar la prioridad de atención de los riesgos identificados y las acciones queserán
realizadas para mitigarlos, así como la definición de una propuesta de programa de
contingencia sobre el riesgo.
4. Elaborar el documento de Registro de riesgos del proyecto con los datos de losfactores
críticos anteriores e integrarlo al Documento de planeación de riesgos.
5. Realizar el seguimiento de los riesgos identificados, ejecutar las acciones derespuesta a
los riesgos y evaluar su efectividad a lo largo del ciclo de vida delproyecto, actualizando
el Registro de riesgos del proyecto.
6. Actualizar el Documento de planeación de riesgos, con el Registro de riesgos
delproyecto, así como integrar el documento actualizado al Documento de
planeación del proyecto.
7. Actualizar el Repositorio central de proyectos con los resultados que se obtengan
enesta actividad.
APTI-6 Dirigir y realizar el trabajo del proyecto

Descripción Dirigir y coordinar las acciones para ejecutar lo establecido en el Documento
de planeación del proyecto y sus Documentos de planeación subsidiarios.
Factorescríticos El Administrador de proyecto y su Equipo de trabajo deberán:
1. Mantener operable el Ambiente de trabajo del proyecto.
2. Asegurarse que se realice el trabajo necesario para elaborar los entregables yproductos
del proyecto.
3. Asegurarse que durante la realización del trabajo se ejecuten las actividades decalidad
de acuerdo a lo establecido en el Documento de planeación de calidad.
4. Supervisar que los recursos y el equipo necesario para la realización del trabajo
seadministren conforme al Documento de planeación del proyecto y sus Documentos de
planeación subsidiarios.
5. Actualizar el cronograma del proyecto de acuerdo al avance en el trabajo realizado.
6. Difundir la información del proyecto y su avance a los involucrados, de acuerdo
alDocumento de planeación de comunicaciones, subsidiario del Documento
deplaneación del proyecto.
APTI-7 Supervisar el trabajo y mantener controlado el proyecto

Descripción Utilizar mecanismos de control para mantener el proyecto de acuerdo a lo planeado.
1. Dar seguimiento y evaluar el rendimiento y avance del proyecto en los hitos de control
establecidos, para identificar las variaciones respecto del Documento de planeación del
proyecto.
2. Integrar el Informe de rendimiento del proyecto con los resultados del
análisiscomparativo, entre el avance alcanzado y lo planeado en un periodo
determinado, yrevisarlo con el Administrador del portafolio de proyectos de TIC.
3. Identificar y controlar los cambios al proyecto, registrarlos y darles
seguimiento,mediante el documento de Solicitud de cambio al proyecto.
4. Analizar las eventualidades del proyecto y darles seguimiento hasta su cierre.
5. Acordar la aceptación de entregables y productos con la Unidad administrativasolicitante
y cualquier otro involucrado, por medio de la formalización de Actas deaceptación de
entregables.
6. Realizar el control de los cambios al proyecto de manera que los cambios que afecten a
las líneas base del proyecto se revisen y, de ser el caso, se aprueben e incorporen al
Documento de planeación del proyecto.
7. Mantener informados del seguimiento del proyecto a los Responsables de losprocesos
APBS- Administración de proveedores de bienes y servicios de TIC; ADTI-
Administración para las contrataciones de TIC, y APT- Administración del presupuesto
de TIC, y recibir retroalimentación de ellos.
8. Actualizar el Tablero de control de proyectos de TIC, con los datos del avance de cada
proyecto en ejecución.
APTI-8 Cerrar el proyecto

Descripción Verificar que las actividades definidas en el Documento de planeación del proyecto,
sehayan concluido a satisfacción de los involucrados.
1. Verificar que el expediente del proyecto contenga el Documento de planeación
delproyecto, la documentación soporte y cualquiera otra relacionada con el proyecto,
talcomo: resultados finales, archivos, cambios, directorios, evaluaciones y
leccionesaprendidas, entre otros.
2. Revisar y validar que el expediente del proyecto cumpla con los elementos de calidad
previstos en el proceso OSGP- Operación del sistema de gestión y mejora de los
procesos de la UTIC y, de ser el caso, con los del proceso CST- Calidad de
lassoluciones tecnológicas de TIC.
3. Formalizar el cierre del proyecto, a través del Acta de cierre de proyecto que
seráfirmada por los servidores públicos de la Unidad administrativa solicitante y, en
sucaso, de la unidad administrativa que promueve la iniciativa que se
hubierendesignado, así como por el Administrador de proyecto y por cualquier
otro involucrado del que se requiera su aprobación sobre el cierre del proyecto.
4. Comunicar el término del proyecto, a los Responsables de los procesos APP-
Administración del portafolio de proyectos de TIC; ADTI- Administración para
lascontrataciones de TIC; APBS- Administración de proveedores de bienes y
servicios de TIC, y APT- Administración del presupuesto de TIC, para que lleven a cabo
lasacciones de cierre que les apliquen.
5. Verificar con los involucrados que la totalidad de los compromisos
contractualesrelacionados con el proyecto se hayan cumplido.
6. Verificar la disponibilidad del expediente del proyecto de TIC, con la finalidad de quesea
un apoyo para futuros proyectos y fuente de conocimiento.
7. Aplicar a los involucrados en el proyecto un Cuestionario de retroalimentación
paraobtener sus niveles de satisfacción y retroalimentación acerca del desempeño de
losejecutores del proyecto.

1.1 "Acta de constitución del proyecto", formato sugerido: anexo 7, formato 1.
1.2 "Repositorio central de proyectos", definido por la Institución.
1.3 "Tablero de control de proyectos de TIC", definido por la Institución.
1.4 "Documento del ciclo de vida del proyecto", formato sugerido: anexo 7, formato 2.
1.5 "Alcance del proyecto", formato sugerido: anexo 7, formato 3.
1.6 "Estructura de desglose del trabajo- EDT", formato sugerido: anexo 7, formato 4.
1.7 "Documento de planeación del proyecto", formato sugerido: anexo 7, formato 5.
1.8 "Registro de riesgos del proyecto", formato sugerido: anexo 7, formato 6.
1.9 "Informe de rendimiento del proyecto", formato sugerido: anexo 7, formato 7.
1.10 "Acta de aceptación de entregables", formato sugerido: anexo 7, formato 8.
1.11 "Solicitud de cambio al proyecto", conforme al formato que defina la Institución.
1.12 "Acta de cierre de proyecto", formato sugerido: anexo 7, formato 9.
1.13 "Cuestionario de retroalimentación", formato sugerido: anexo 7, formato 10.

1.1 Responsable del proceso APTI- Administración de proyectos de TIC.
1.2 Administrador de proyecto.
1.3 Unidad administrativa que promueve la iniciativa.
1.4 Unidad administrativa solicitante.
1.5 Equipo de trabajo del administrador de proyecto.
Frecuencia de
cálculo
Eficiencia de la Conocer la Obtener la Dimensión: % de eficiencia= El Responsable del Anual.

administración de eficiencia eficiencia del Eficiencia. (Número de proceso APTI-
proyectos. del proceso. proceso mediante Tipo: entregables Administración de
la medición del concluidos y proyectos de TIC.
cumplimiento en De gestión.
entregados de
la conclusión de acuerdo a los
los entregables documentos de
según lo planeación de los
planeado. proyectos /
Número total de
entregables en los
documentos de
planeación de los
proyectos sobre el
periodo que se
opera el indicador)
X 100

1.1 Los Administradores de proyecto deben asegurarse de que todos los proyectos
queadministren cuenten con su respectivo Documento de planeación del proyecto,
completo y autorizado.
1.2 Los Administradores de proyecto deben asegurarse que cualquier cambio a un
proyectoque administren se realice mediante una Solicitud de cambio autorizada.
1.3 El Responsable de este proceso se debe asegurar que en los proyectos de TIC
se aplique la metodología de estimación de esfuerzo que sea desarrollada por la UTIC.
5.4 AP - ADMINISTRACION DE PROCESOS
5.4.1 OSGP - Operación del sistema de gestión y mejora de los procesos de la UTIC
General:
Establecer y operar un sistema de gestión y mejora de los procesos de la UTIC, en el que se
verifiquen,monitoreen y evalúen los procesos del presente Manual y se consideren las acciones de
mejora necesarias para una operación eficiente de la UTIC.
Específicos:
1. Establecer la mejora continua para la operación de los procesos del presente Manual.
2. Ejecutar las acciones de mejora determinada para la adecuada operación de los procesos.
OSGP-1 Establecer los repositorios de activos del proceso y métricas de los procesos
Descripción Establecer los repositorios de activos y de métricas de los procesos.
Factorescríticos El Responsable de este proceso, con apoyo de los Responsables de los
demásprocesos del Manual, deberá:
1. Definir los criterios técnicos para diseñar e incorporar elementos al Repositorio
deactivos de procesos.
2. Integrar en el Repositorio de activos de procesos, las características esenciales de los
procesos del presente Manual, considerando por lo menos para cada uno de
losprocesos, la información siguiente:
a) Objetivo general y objetivos específicos.
b) Responsable.
c) Entradas y salidas.
d) Proveedores y usuarios (clientes).
e) Mecanismos de medición e indicadores, incluyendo umbrales.
f) Recursos de los procesos: humanos, financieros, infraestructura y ambiente detrabajo.
g) Mapas del proceso.
h) Actividades y factores críticos del proceso.
i) Reglas del proceso.
j) Diagrama que muestre la interrelación con otros procesos.
k) Los elementos del proceso que permiten precisar aspectos específicos de suoperación.
3. Integrar el Repositorio de activos de procesos al sistema de conocimiento de la UTIC,
en coordinación con el Responsable del proceso ACNC- Administración
delconocimiento.
4. Elaborar el Mapa de procesos, en el que se muestre la jerarquía, relación e interacción
de los procesos.
5. Seleccionar los documentos y activos de procesos que estarán sujetos a control
decambios y de versiones.
Los Responsables de cada uno de los procesos, con apoyo del Responsable
deeste proceso, deberán:
6. Integrar los objetivos, metas, objetivos de calidad del proceso y de sus
productos,criterios técnicos de aceptación de los productos del proceso, métricas y
resultadosesperados, en el Repositorio de activos de procesos y en el Repositorio de
métricasde procesos y generar el Documento de administración del proceso, el cual
podrá ser una vista de los repositorios mencionados.
7. Establecer y actualizar los Modelos de ciclo de vida aplicables.
8. Establecer el sistema de gestión y mejora de procesos de la UTIC, integrando
lainformación y elementos generados a través de los factores críticos anteriores.
OSGP-2 Establecer Reglas de adaptación

Descripción Establecer Reglas de adaptación respecto de factores críticos o actividades de
unproceso, cuando se justifiquen que resulten necesarias conforme a las
característicasparticulares de la Institución.
Factorescríticos El Responsable de este proceso podrá:
1. Elaborar y someter a la autorización del Titular de la UTIC, Reglas de adaptación que
permitan no observar uno o más factores críticos de alguna actividad o, una o más
actividades de un proceso, cuando tal adaptación responda a necesidadesespecíficas
de la Institución y no se afecte la consistencia y cohesión del proceso o la interrelación
de éste con los demás procesos del "Marco rector de procesos enmateria de TIC".
2. Autorizar, en su caso, las Reglas de adaptación a que se refiere el factor críticoanterior,
considerando al efecto que las Reglas de adaptación están sujetas a losiguiente:
a) Sólo podrán establecerse en Instituciones cuyo presupuesto anual destinado aprocesos,
proyectos y servicios de TIC sea menor a 25 millones de pesos.
b) En ningún caso los procesos de los grupos: DR, CN, AP y OS, serán objeto dedichas
Reglas.
c) No podrán establecerse para dejar de observar factores críticos vinculadosdirectamente
con controles de seguridad de la información o con niveles deservicio ni para omitir la
observancia de cualquiera de las reglas contenidas en los apartados "Reglas del
proceso".
d) Deberán incluir una justificación para cada actividad o factor crítico que se dejará de
observar.
3. Enviar las Reglas de adaptación autorizadas a la UGD, para efectos de su registro
ycontrol.
4. Registrar las Reglas de adaptación autorizadas y registradas en la UGD, como activos
del proceso.
OSGP-3 Operar el sistema de gestión y mejora de los procesos de la UTIC

Descripción Ejecutar las acciones requeridas para la adecuada operación de los procesos de la
UTIC.
Factorescríticos El Responsable de cada proceso deberá:
1. Comunicar oportunamente a los involucrados en cada proceso: el objetivo general, los
objetivos específicos, los resultados esperados y sus indicadores.
El Responsable de este proceso, con apoyo de los Responsables de cada uno
de los procesos, deberá:
2. Informar a los involucrados del proceso del resultado de la supervisión a la asignación
de roles, actividades y responsabilidades para la ejecución de los procesos efectuada
por el Grupo de trabajo estratégico de TIC.
3. Establecer y actualizar los objetivos de calidad de los procesos, los activos deprocesos,
así como las actividades de verificación, validación, monitoreo, inspección,pruebas
específicas y los criterios técnicos de aceptación de los productos de cadaproceso.
4. Establecer registros para proveer evidencia sobre el cumplimiento de los procesos yde
sus productos.
5. Establecer y actualizar las métricas que permitan conocer los resultados y eldesempeño
de cada proceso, así como la oportuna implementación de acciones para corregir las
desviaciones a las metas e indicadores.
6. Alinear los objetivos, las métricas e indicadores de los procesos con el sistema
deevaluación de TIC, establecido en el proceso AE- Administración de la evaluación
deTIC.
7. Establecer los Estándares de ambiente de trabajo, considerando, las
instalaciones,espacio de trabajo, herramientas asociadas, software e infraestructura,
yactualizarlos.
OSGP-4 Ejecutar la planeación de implementación de mejoras
Descripción Elaborar los documentos para la implementación de mejoras y aplicarlas.
Factorescríticos El Responsable de este proceso, con apoyo de los Responsables de los procesos
a los que se aplicarán las mejoras, deberá:
1. Elaborar el Documento de planeación para la implementación de mejora de procesos,
considerando, al menos, los siguientes elementos:
a) Las solicitudes de mejora recibidas.
b) La información contenida en el Repositorio de activos de procesos, así como
elRepositorio de métricas de procesos.
c) Los proyectos de servicios de TIC en desarrollo, y los compromisos de la UTIC.
d) Los procesos a los que aplicará la acción de mejora.
e) El objetivo y alcance de la implementación de la mejora.
f) Las acciones que habrán de efectuarse para lograr una adecuada comunicacióncon los
involucrados en la mejora.
g) Las acciones que habrán de efectuarse para la adecuada administración de loscambios
que deriven de la mejora.
h) Los criterios técnicos para evaluar la calidad del proceso mejorado.
2. Instrumentar el Proyecto de implementación de mejora de procesos, siguiendo
elproceso APTI- Administración de proyectos de TIC.
3. Comunicar el Proyecto de implementación de mejora de procesos, a los involucrados.
4. Dirigir, supervisar y controlar la ejecución del Proyecto de implementación de mejora de
procesos.
5. Documentar, formalizar y difundir la mejora aplicada.
6. Integrar el Documento de lecciones aprendidas y mantenerlo a disposición de
losinvolucrados e interesados.
7. Actualizar el Repositorio de activos de procesos, así como el Repositorio de métricasde
procesos.
OSGP-5 Evaluar la operación del sistema de gestión y mejora de los procesos de la UTIC
Descripción Dar seguimiento y evaluar la operación del sistema de gestión y mejora de los
demásprocesos del Manual, deberá:
1. Establecer un Grupo de trabajo de aseguramiento de calidad, compuesto porintegrantes
del Recurso humano en la UTIC.
El Grupo de trabajo de aseguramiento de calidad deberá:
2. Obtener un diagnóstico del estado actual de los procesos de la UTIC.
3. Obtener un inventario de las capacidades del personal que interviene en la ejecuciónde
los procesos.
4. Identificar los procesos que tienen oportunidades de mejora.
5. Monitorear y medir los productos y servicios de los procesos, con el propósito
deconstatar que:
a) Los requerimientos de mejora se han cumplido.
b) Se obtuvo y conserva evidencia de la mejora, de conformidad con los criteriostécnicos
de aceptación.
6. Monitorear y medir el desarrollo de las actividades de los procesos, a través de:
a) Mecanismos para el seguimiento a la ejecución de los procesos que permitanmostrar
claramente los resultados de la gestión.
b) Acciones para corregir la desviación identificada y, eliminar de ser posible, lacausa raíz.
c) La evidencia que se obtenga y conserve, de la conformidad con los criteriostécnicos de
aceptación.
d) La revisión que se realice para constatar que las capacidades de los involucrados están
alineadas con los procesos que operan. En coordinación con las acciones de los
procesos EMG-Establecimiento del modelo de gobierno de TIC y APC- Apoyo a la
capacitación del personal de la UTIC.
7. Elaborar el Documento de planeación de evaluación, y conducir, al menos una vez por
año, las evaluaciones que permitan determinar si la forma como se están operando los
procesos es la que indica en este Manual y si se cumple con los niveles de desempeño
previstos para cada proceso, a cuyo efecto:
a) Definirá el alcance, la frecuencia, así como los criterios técnicos y métodos paralas
evaluaciones.
b) Seleccionará a los evaluadores de calidad, asegurándose de que éstos noevaluarán su
propio trabajo.
c) Dará seguimiento a las evaluaciones que realicen los evaluadores seleccionados para
dar certeza de la objetividad e imparcialidad de las evaluaciones.
d) Establecerá el Programa de evaluaciones tomando en cuenta tanto el estado y la
importancia de los procesos así como los resultados de evaluaciones anteriores.
e) Elaborará el Análisis comparativo de los procesos evaluados.
f) Registrará y comunicará los resultados de las evaluaciones a los Responsablesde los
procesos evaluados y directamente relacionados.
8. Elaborar el Reporte de evaluación de procesos, el cual deberá incluir:
a) Los resultados y conclusiones de las evaluaciones, destacando: hallazgos,
noconformidades y, en su caso, actividades no evaluadas.
b) Las oportunidades de mejora identificadas en las diversas fuentes disponibles,como
pueden ser:
i. Los resultados de las evaluaciones efectuadas a los procesos.
ii. Los resultados de cada Análisis comparativo realizado.
iii. Propuestas y solicitudes de mejora de procesos, presentadas por losinvolucrados.
iv. Lecciones aprendidas en la implantación y ejecución de los procesos.
9. Elaborar la Solicitud de mejora de proceso, con base en la información obtenida
yasegurarse que se actualice el Repositorio de solicitudes de mejora.
OSGP-6 Ejecutar las acciones de mejora
Descripción Aplicar las acciones de la mejora seleccionadas.
1. Establecer un Grupo de trabajo de procesos y mejora continua de la UTIC, conformado
por integrantes del Recurso humano en la UTIC, el cual será responsable de administrar
las mejoras a los procesos de la UTIC, de manera ordenada y orientada al beneficio de
la Institución.
El Grupo de trabajo de procesos y mejora continua de la UTIC deberá:
2. Registrar en el Repositorio de solicitudes de mejora, las solicitudes recibidas.
3. Elaborar el Informe de análisis de mejoras propuestas, mediante la revisión,
análisis,priorización y selección de las solicitudes de mejora de procesos. Para efectuar
laselección de dichas solicitudes se considerará lo siguiente:
a) Menor costo y horas de trabajo.
b) Mayores beneficios tangibles e intangibles.
c) Mayor contribución de las mejoras propuestas al cumplimiento del PETIC.
d) Menores obstáculos o riesgos potenciales.
4. Documentar las solicitudes de mejoras de procesos como proyectos deimplementación
de mejora de procesos, conforme a lo establecido en el proceso APP- Administración
del portafolio de proyectos de TIC, para su evaluación y, en su caso, autorización
correspondiente.
5. Ejecutar los proyectos de implementación de mejora procesos y dar seguimiento
a las"no conformidades" hasta su cierre, así como validar las acciones
correctivasimplementadas.
6. Elaborar el documento de Resultado de mejoras implementadas, con los
datosprovenientes de la actividad OSGP-5.
7. Iniciar un nuevo ciclo del proyecto de mejora implementado, si las acciones realizadas
no tienen el resultado esperado, para lo cual se deberá regresa a la actividad de OSGP-
5.
8. Integrar la información del resultado de mejoras implementadas a los repositorios
deeste proceso y asegurarse que dichos resultados se incorporen al Repositorio
deconocimiento a que se refiere el proceso ACNC- Administración del conocimiento.
9. Difundir los resultados obtenidos a los involucrados.

1.1 "Mapa de procesos", formato sugerido: anexo 8, formato 1.
1.2 "Documento de administración del proceso", formato sugerido: anexo 8, formato 2.
1.3 "Modelos de ciclo de vida", formato sugerido: anexo 8, formato 3.
1.4 "Reglas de adaptación", formato sugerido: anexo 8, formato 4.
1.5 "Estándares de ambiente de trabajo", formato sugerido: anexo 8, formato 5.
1.6 "Documento de planeación para la implementación de mejora de
procesos", formatosugerido: anexo 8, formato 6.
1.7 "Proyecto de implementación de mejora de procesos", formato sugerido: anexo
8, formato7.
1.8 "Documento de lecciones aprendidas", formato sugerido: anexo 8, formato 8.
1.9 "Documento de planeación de evaluación", formato sugerido: anexo 8, formato 9.
1.10 "Análisis comparativo", formato sugerido: anexo 8, formato 10.
1.11 "Reporte de evaluación de procesos", formato sugerido: anexo 8, formato 11.
1.12 "Solicitud de mejora de proceso", formato sugerido: anexo 8, formato 12.
1.13 "Informe de análisis de mejoras propuestas", formato sugerido: anexo 8, formato 13.
1.14 "Resultado de mejoras implementadas", formato sugerido: anexo 8, formato 14.
1.15 "Repositorio de activos de procesos", definido por la Institución.
1.16 "Repositorio de métricas de procesos", definido por la Institución.
1.17 "Repositorio de solicitudes de mejora", definido por la Institución.

1.1 Responsable del proceso OSGP- Operación del sistema de gestión y mejora de
losprocesos de la UTIC.
1.2 Grupo de trabajo de procesos y mejora continua de la UTIC.
1.3 Grupo de trabajo de aseguramiento de calidad.
Frecuencia de
cálculo
Resultados Medir los Conocer la Dimensión: % de eficiencia= El Responsable del Semestral.

del proceso resultados eficiencia del Eficiencia. (Total mejoras proceso OSGP-
OSGP- de las proceso mediante Tipo: implementadas / Operación del
Operación del acciones de las acciones de Total de mejoras sistema de gestión
sistema de mejora que mejora De gestión. y mejora de los
planeadas) X 100
gestión y se operan en implementadas. procesos de la
mejora de los este UTIC.
procesos de proceso.
la UTIC.

1.1 El Titular de la UTIC, con apoyo del Grupo de trabajo estratégico de TIC y el
Responsable de este proceso, deberá en cada proceso de este Manual, revisar y aprobar
el Documento de administración del proceso.
1.2 El Responsable de este proceso, con apoyo del Grupo de trabajo estratégico de
TIC,revisará, al menos una vez al año, que la operación de cada proceso del
Manualcorresponda con lo señalado en su respectivo Documento de administración del
proceso.La revisión que se efectúe deberá documentarse.
1.3 Las Reglas de adaptación se podrán aplicar a partir de la fecha en que se efectúe
suregistro en la UGD.
1.4 Los Responsables de los procesos de este Manual, deberán realizar las
accionesnecesarias para que en su respectivo proceso, se observen los controles de
seguridad dela información, así como las acciones en materia de seguridad informática
previstos elSGSI.
5.5 AR - ADMINISTRACION DE RECURSOS
5.5.1 APT - Administración del presupuesto de TIC

General:
Coordinar las acciones para el ejercicio del presupuesto destinado a las TIC, a fin de maximizar
suaplicación en las adquisiciones y servicios de TIC requeridos por la Institución.
Específicos:
1. Identificar y consolidar los requerimientos de recursos financieros de los proyectos y servicios de
TICexistentes en los portafolios correspondientes.
2. Proponer escenarios para organizar los portafolios de proyectos y servicios de TIC, de acuerdo con los
requerimientos de recursos de los proyectos y servicios de TIC y los recursos financieros con los que se
cuente para ello, a fin de mejorar el rendimiento de los portafolios, considerando minimizar los costos y
maximizar los beneficios por medio de estrategias adecuadas.
3. Participar en la priorización de proyectos de TIC y programas de aprovisionamiento y de mantenimiento de
la infraestructura tecnológica, a fin de lograr la optimización en el manejo del presupuesto destinado a las
TIC.
4. Mantener actualizados los registros del presupuesto de TIC en el Repositorio de iniciativas de TIC, para
cada rubro de gasto e inversión.
APT-1 Establecer el seguimiento del presupuesto de TIC

Descripción Definir las acciones necesarias para dar seguimiento al presupuesto autorizado de
TIC por las instancias competentes, utilizando la información de los portafolios de
proyectos y de servicios de TIC, así como la de los programas de aprovisionamiento y
de mantenimiento de la infraestructura tecnológica.
Factorescríticos El Responsable del seguimiento del presupuesto deberá:
1. Mantener comunicación efectiva con las unidades administrativas responsables
deadministrar los recursos financieros y materiales de la Institución.
2. Gestionar ante las unidades administrativas competentes, de acuerdo con susprocesos
y las disposiciones presupuestarias aplicables, la asignación de recursospara la
ejecución de los Programas de proyectos y de proyectos de TIC autorizados,contenidos
en los portafolios de proyectos y de servicios de TIC, así como para losprogramas de
aprovisionamiento y de mantenimiento de la infraestructura tecnológica.
3. Coordinar, en el ámbito de competencia de la UTIC, el seguimiento del ejercicio de los
recursos presupuestarios de TIC, mediante las siguientes acciones:
a) Participar en el control de los gastos efectuados con cargo al presupuestoasignado a la
UTIC, para la ejecución de los proyectos y servicios de TIC, asícomo para el
aprovisionamiento de la infraestructura tecnológica.
b) Mantener actualizados los portafolios de proyectos y de servicios de TIC, en loque
respecta a verificar que el costo de mantenimiento de los Activos de TIC esté
adecuadamente reflejado en el Programa de mantenimiento de la infraestructura
tecnológica y en el presupuesto asignado a la UTIC.
4. Verificar con la unidad administrativa competente, que los elementos que conformanlas
iniciativas de los portafolios de proyectos y de servicios de TIC, así como los
deaprovisionamiento y de mantenimiento de la infraestructura tecnológica
esténidentificados de acuerdo con la partida de gasto correspondiente.
5. Elaborar, con los datos del factor crítico anterior, la Lista de conceptos de
TICetiquetados en el presupuesto de TIC.
6. Informar a los Administradores de los portafolios de proyectos y de servicios de
TIC,sobre la existencia de recursos para la contratación de bienes y servicios de TIC.
7. Mantener actualizados y disponibles los registros sobre el ejercicio del presupuesto de
TIC, incluida la programación de gasto comprometido, montos y fechas de pago para
operación y mantenimiento de los activos de TIC, mediante el documento Reporte del
seguimiento del ejercicio del presupuesto.
8. Proveer a los responsables de la elaboración de los Casos de negocio de Iniciativas de
TIC, de la información sobre el presupuesto de TIC.
9. Comunicar a los grupos de trabajo para la dirección de TIC y estratégico de TIC,
lainformación sobre el presupuesto de TIC, con la finalidad de priorizar su asignación
ycoordinar su aplicación.
APT-2 Participar en el establecimiento de prioridades del presupuesto de TIC

Descripción Participar en la definición de los proyectos, servicios e Iniciativas de TIC a los que se
daráprioridad al asignar los recursos financieros destinados a las TIC.
Factorescríticos El Responsable del seguimiento del presupuesto, con apoyo de
losAdministradores de los portafolios de proyectos y de servicios de TIC y
de losResponsables de los programas de aprovisionamiento y de
mantenimiento de la infraestructura tecnológica, deberá:
1. Identificar los proyectos, servicios e Iniciativas de TIC incluidos en los portafolios
deproyectos y de servicios de TIC, para los que sea necesaria una
asignaciónpresupuestaria.
2. Establecer escenarios para el adecuado ejercicio del presupuesto destinado a las TIC,
indicando los gastos indispensables para garantizar la continuidad de la operación, los
riesgos operativos y los correspondientes a Iniciativas de TIC.
3. Documentar las reducciones presupuestarias y presiones de gasto que seaninformadas
a la UTIC por las unidades administrativas competentes, y realizar elanálisis que
permita identificar los riesgos o contingencias que deriven de talesreducciones y
presiones.
4. Elaborar la Lista de iniciativas de inversión de TIC categorizada, que incluya
laspropuestas de prioridades para los proyectos, servicios e Iniciativas de TIC dentro
delos portafolios de proyectos y de servicios de TIC, así como de los escenarios para
elejercicio del presupuesto destinado a las TIC, soportando dichas propuestas con
losCasos de negocio y con la planeación estratégica de TIC.
5. Presentar al Titular de la UTIC los escenarios a que se refiere el factor crítico 2, para la
toma de decisiones sobre el ejercicio del presupuesto destinado a las TIC.
6. Comunicar a los involucrados el monto y la calendarización del presupuesto destinado a
las TIC, así como las modificaciones que se efectúen al mismo.
7. Gestionar ante la unidad administrativa responsable de administrar los
recursosfinancieros de la Institución, las constancias de suficiencia presupuestaria
parasustentar la contratación de bienes y servicios de TIC que sean requeridos por
laUTIC.
APT-3 Apoyar en la elaboración del anteproyecto anual de presupuesto en materia de

TIC
Descripción Coadyuvar con la unidad administrativa competente de la Institución en la elaboración
delanteproyecto anual de presupuesto de la Institución en lo relativo a TIC.
Factorescríticos El Responsable del seguimiento del presupuesto, con apoyo de los
Responsables de los procesos de los grupos DR, CN, PR, AS, AA y OP, deberá:
1. Estimar los recursos presupuestarios de TIC, de acuerdo con los
requerimientosprevistos en los programas de aprovisionamiento y de mantenimiento de
lainfraestructura tecnológica de la UTIC.
2. Estimar los recursos presupuestarios necesarios para el desarrollo de los proyectos e
Iniciativas de TIC contemplados en los portafolios de proyectos y de servicios de TIC.
3. Elaborar, con base en la información a que aluden los factores críticos anteriores,
eldocumento de Estimación del presupuesto de TIC, el cual contendrá la propuesta
depresupuesto de TIC para el siguiente ejercicio fiscal.
4. Presentar el documento de Estimación del presupuesto de TIC al Titular de la UTIC y,
por su conducto, al Grupo de trabajo para la dirección de TIC.
5. Entregar el documento de Estimación del presupuesto de TIC a la unidad administrativa
responsable de la integración del anteproyecto de presupuesto de la Institución.

1.1 "Lista de conceptos de TIC etiquetados en el presupuesto de TIC", formato
sugerido: anexo 9, formato 1.
1.2 "Reporte del seguimiento del ejercicio del presupuesto", formato sugerido: anexo
9, formato 2.
1.3 "Lista de iniciativas de inversión de TIC categorizada", formato sugerido: anexo
9, formato3.
1.4 "Estimación del presupuesto de TIC", formato sugerido: anexo 9, formato 4.

1.2 Responsable del seguimiento del presupuesto.
Frecuencia de
cálculo
Resultados del Conocer la Conocer la Dimensión: % de eficiencia = El Responsable del Semestral.

proceso de eficiencia de Eficiencia del Eficiencia. (Gestiones de proceso APT-
Administración del la gestión proceso mediante Tipo: presupuesto que Administración del
presupuesto de del proceso. la medición del permitieron el presupuesto de
TIC. presupuesto De gestión. ejercicio en TIC.
ejercido en tiempo y forma /
tiempo y forma. Total de gestiones
efectuadas) X 100

1.1 El Responsable del seguimiento del presupuesto es el Responsable de este proceso.
1.2 El Responsable del proceso deberá asegurarse que este proceso se ejecute con
estrictoapego a las disposiciones jurídicas que en materia presupuestaria resulten
aplicables, asícomo a los procesos de las unidades administrativas responsables de
administrar losrecursos financieros y de la elaboración del anteproyecto anual de
presupuesto de laInstitución.
5.5.2 ADTI - Administración para las contrataciones de TIC
General:
Establecer un programa para la contratación de los bienes y servicios de TIC que se requieren para
lasIniciativas de TIC contenidas en los portafolios de servicios y proyectos de TIC, alineado a los
recursosfinancieros autorizados y apoyar técnicamente en la realización de los procedimientos de
contratacióncorrespondientes.
Específicos:
1. Elaborar el Programa para las contrataciones de TIC, considerando las directrices de la Institución, así
como las disposiciones jurídicas que en materia presupuestaria, y de adquisiciones y arrendamiento de
bienes muebles y servicios de cualquier naturaleza que resulten aplicables.
2. Proporcionar a la unidad administrativa responsable de la contratación de bienes o servicios en
laInstitución, el apoyo y los elementos técnicos necesarios para llevar a cabo los procedimientos
decontratación de bienes y servicios de TIC, contemplados en el Programa para las contrataciones de TIC.
ADTI-1 Establecer un programa para las contrataciones de TIC

Descripción Establecer el Programa que integre los bienes y servicios de TIC que la UTIC
requierecontratar, y efectuar las acciones que permitan proveer a la unidad
administrativaresponsable de realizar los procedimientos de contratación en la Institución
de loselementos técnicos necesarios para llevar a cabo los procedimientos de
contratación quecorrespondan.
Factorescríticos El Responsable de este proceso, con apoyo del Responsable del proceso APT-
Administración del presupuesto de TIC y de los Responsables de los procesos
de los grupos DR, CN, PR, AA y OP, deberá:
1. Elaborar, de acuerdo con las directrices de la Institución, el Programa
para lascontrataciones de TIC, respecto de las Iniciativas de TIC contenidas en
los portafolios de servicios y proyectos de TIC que hayan sido autorizadas en
términos de este Manual, así como de los programas de aprovisionamiento y
de mantenimiento de la infraestructura tecnológica, y considerando los
recursos financieros con que se cuente en el ejercicio fiscal correspondiente destinados
a TIC.
2. Verificar las necesidades de consolidación de requerimientos de TIC.
El Responsable del programa para las contrataciones de TIC, con apoyo de
laUnidad administrativa solicitante cuando así corresponda, deberá:
3. Verificar que la Propuesta de anexo técnico que elabore el servidor público de la UTIC
designado para ello, contenga las especificaciones y requerimientos técnicos del bien o
servicio de TIC que se pretenda contratar, tales como:
a) Requerimientos funcionales.
b) Requerimientos no funcionales, tales como: la disponibilidad del bien o servicio de TIC
en función de las necesidades de la Unidad administrativa solicitante, así como los
controles de seguridad que deberán garantizarse respecto del bien o para la prestación
del servicio de TIC de que se trate.
c) Niveles de servicio.
d) Términos y condiciones de entrega y de aceptación.
e) Tiempos de respuesta de soporte y de servicio.
f) La previsión para que, en su oportunidad, se incluya una cláusula al contrato que se
celebre, que asegure a la Institución que el proveedor y su personal no harán uso
indebido de la documentación, información ni activos de TIC a los que tengan acceso o
que se generen con motivo de la prestación del servicio.
g) La forma en que se llevará a cabo la supervisión del servicio contratado.
h) Otros aspectos que hubiere señalado la Unidad administrativa solicitante.
4. Proponer, en su caso, la estrategia de contratación para los proyectos o
iniciativasautorizadas por el Grupo de trabajo para la dirección de TIC, tomando en
cuenta losprocedimientos de contratación previstos en la Ley de
Adquisiciones, Arrendamientos y Servicios del Sector Público, su Reglamento y
demás disposiciones aplicables.
5. Integrar los requerimientos técnicos en materia de TIC en el documento Propuesta de
estudio de mercado, para apoyar la investigación de mercado que en su oportunidad
realice la unidad administrativa responsable en la Institución, para lo cual:
a) Requerirá a los proveedores del mercado, información sobre los bienes yservicios de
TIC que se pretenden contratar.
b) Analizará la información enviada por la Unidad administrativa solicitante yverificará que
ésta contenga los criterios de calidad, de aceptación y los nivelesde servicio esperados
respecto de los bienes y servicios de TIC que sepretenden contratar.
c) Analizará las propuestas de los proveedores del mercado, así como los costosasociados
a las mismas, para afinar los requerimientos y verificar si los recursoscon que se cuenta
son suficientes para efectuar la contratación que se pretende.
d) Señalará las capacidades técnicas y administrativas que deberán acreditar
losproveedores para la entrega de los bienes o la prestación de los servicios.
6. Enviar la Propuesta de anexo técnico y la Propuesta de estudio de mercado a la unidad
administrativa responsable de realizar los procedimientos de contratación en la
Institución.
ADTI-2 Integración de información relativa a los procedimientos de contratación de TIC

Descripción Integrar la información relacionada con los procedimientos de contratación de TIC
quepermita al servidor público de la UTIC designado como representante del Area técnica
en la contratación de que se trate, coadyuvar en el seguimiento del
procedimiento respectivo.
Factorescríticos El Responsable del programa para las contrataciones de TIC deberá:
1. Integrar la información relativa al procedimiento de contratación de TIC, y entregarla al
servidor público de la UTIC designado como representante del Area técnica.
2. Recabar documentación relevante sobre la contratación de bienes y serviciossimilares a
los que se pretenden contratar, así como de las lecciones aprendidasderivadas de
proyectos ejecutados, y entregarla al servidor público señalado en elfactor crítico
anterior.
ADTI-3 Participación de la UTIC en procedimientos de contratación de TIC

Descripción Coadyuvar, en el ámbito de las atribuciones de la UTIC, en los procedimientos
decontratación de TIC, mediante su participación en los actos en que se prevea
laintervención del Area técnica.
Factorescríticos El servidor público de la UTIC que se designe como representante del Area
técnica, de conformidad con las disposiciones jurídicas en materia de
adquisiciones y arrendamiento de bienes muebles y servicios de cualquier
naturaleza, deberá:
1. Realizar la evaluación de la propuesta técnica de las proposiciones que presenten los
interesados.
2. Participar en la junta o juntas de aclaraciones que, en su caso, se lleven a
cabo,respondiendo a las preguntas que se formulen sobre los aspectos técnicos de
lacontratación.
El Responsable del programa para las contrataciones de TIC deberá:
3. Mantener informados a los Responsables de los procesos APT- Administración
delpresupuesto de TIC y APBS- Administración de proveedores de bienes y servicios
deTIC y, en su caso, a la Unidad administrativa solicitante, sobre los avances
yconclusión del procedimiento de contratación.

1.1 "Programa para las contrataciones de TIC", formato sugerido: anexo 10, formato 1.
1.2 "Propuesta de estudio de mercado", formato sugerido: anexo 10, formato 2.
1.3 "Propuesta de anexo técnico", formato sugerido: anexo 10, formato 3.

1.1 Responsable del proceso ADTI- Administración para las contrataciones de TIC.
1.2 Responsable del programa para las contrataciones de TIC.
Frecuencia de
cálculo
Resultados Obtener unresultado dela Conocer Dimensión:Eficien % de El Responsable Anua
de proceso. gestión delproceso elporcentaje de cia. eficiencia=(Número delproceso l.
pormedio de lamedición de lasgestionesrealiza Tipo: degestiones ADTI-
laeficiencia das entiempo y decontratación de Administraciónp
delprocesobasado en forma. De gestión. TICefectuadas ara
lasgestionesexitosasefectua entiempo y forma lascontratacione
das. /Número degestiones s deTIC.
decontrataciones
deTIC
previstasconsiderand
o elnúmero
deprocedimientos
decontrataciónrequeri
dos en baseal
Programa para
lascontrataciones
deTIC) X 100

1.1 El Responsable del programa para las contrataciones de TIC es el Responsable de
esteproceso.
1.2 Este proceso deberá ejecutarse con estricto apego a las disposiciones jurídicas que
enmateria de adquisiciones y arrendamiento de bienes muebles y servicios de
cualquiernaturaleza resulten aplicables, así como al Acuerdo por el que se expide el
ManualAdministrativo de Aplicación General en Materia de Adquisiciones, Arrendamientos
yServicios del Sector Público.
1.3 Cuando otras áreas o unidades administrativas de la Institución diversas a la UTIC,

tenganasignados recursos financieros para la contratación de bienes o servicios de TIC
necesariospara el cumplimiento de sus funciones, deberán contar previo al inicio del
procedimiento decontratación de que se trate, con el Dictamen técnico de la UTIC.
1.4 En el supuesto a que se refiere la regla anterior, corresponderá al área o

unidadadministrativa de que se trate fungir como Area técnica y en consecuencia, designar
alservidor público que las representará en el procedimiento de contratación respectivo.
1.5 La UTIC deberá proporcionar el apoyo técnico que le sea requerido por las áreas
o unidades administrativas de la Institución, a través de su representante, en los
supuestos previstos en las reglas 1.3 y 1.4.
5.5.3 APBS - Administración de proveedores de bienes y servicios de TIC
General:
Establecer un mecanismo que permita verificar el cumplimiento de los compromisos asumidos por
losproveedores en los contratos celebrados en materia de TIC.
Específicos:
1. Identificar hallazgos, desviaciones y riesgos en el cumplimiento de los contratos en materia de TIC.
2. Proponer acciones preventivas y correctivas que propicien el adecuado cumplimiento del proveedor asus
compromisos contractuales.
APBS-1 Generar lista de verificación de acuerdos

Descripción Elaborar una lista de verificación, con base en el contrato celebrado, para
dar seguimiento al desarrollo de los compromisos adquiridos.
1. Apoyar técnicamente a los Administradores del contrato en el seguimiento a
loscompromisos adquiridos en los contratos de bienes y servicios de TIC.
Cada Administrador del contrato deberá:
2. Elaborar, de conformidad con lo estipulado en el contrato, la Lista de verificación para el
seguimiento de los compromisos contractuales, que contendrá al menos:
a) La totalidad de los compromisos asumidos por el proveedor y la Institución.
b) Los supuestos en que se aplicarán penalizaciones al proveedor.
c) Las fechas de entrega de los bienes o de prestación de los servicios contratadosy, en su
caso, el calendario de entrega de los productos o entregables.
d) Los datos del o de los enlaces o responsables designados por el proveedor.
3. En los casos en que participen diversos proveedores en un contrato, será
necesarioidentificar qué compromisos corresponden a cada proveedor.
APBS-2 Monitorear el avance y desempeño del proveedor

Descripción Verificar que el avance de los compromisos y actividades del proveedor se realicen
comose especifica en el contrato.
Factorescríticos Cada Administrador del contrato deberá:
1. Llevar a cabo el seguimiento de los compromisos asumidos por el proveedor en
elcontrato y establecer al efecto, la coordinación necesaria con el enlace, enlaces
oresponsables designados por el proveedor.
2. Solicitar al Administrador de proyecto y en, su caso, a la Unidad administrativasolicitante
o a los Responsables de los procesos involucrados en el cumplimiento delcontrato, los
reportes de avance y desempeño del proveedor.
3. Elaborar, con base en la información derivada de los factores anteriores, el Reporte de
avance sobre el cumplimiento de los compromisos del proveedor, con el fin de:
a) Identificar, analizar y registrar hallazgos, desviaciones y riesgos, y proponer
alAdministrador de proyecto y en, su caso, a la Unidad administrativa solicitante o a los
Responsables de los procesos involucrados las acciones preventivas y/ocorrectivas
correspondientes.
b) Dar seguimiento a las acciones preventivas y/o correctivas que se determinenhasta su
cierre.
4. Identificar, cuando corresponda, la posible aplicación de penalizaciones conforme a lo
establecido en el contrato e informar de ello al Administrador de proyecto y, en sucaso,
a la Unidad administrativa solicitante o a los Responsables de los procesosinvolucrados,
así como a la unidad administrativa facultada en la Institución, para suaplicación.
APBS-3 Revisión al cumplimiento del contrato

Descripción Verificar al término de la vigencia del contrato que la totalidad de los
compromisosasumidos por el proveedor se hayan realizado con apego a lo estipulado en
el mismo.
Factorescríticos El Administrador del contrato deberá:
1. Revisar, en coordinación con el Administrador de proyecto y, en su caso, con laUnidad
administrativa solicitante y los Responsables de los procesos involucrados,que el
proveedor haya dado total cumplimiento a sus compromisos contractuales,tomando en
cuenta los Reportes de avance sobre el cumplimiento de los compromisos del
proveedor y lo estipulado en el contrato.
2. Confirmar, cuando proceda, que los accesos a los activos o servicios de
TICproporcionados al proveedor han sido dados de baja.
3. Elaborar el Informe de revisión a los compromisos del contrato y comunicar suresultado
al Administrador de proyecto y, en su caso, a la Unidad administrativasolicitante o a los
Responsables de los procesos involucrados, así como a la unidadadministrativa
facultada en la Institución para efecto de dar por concluidos loscompromisos
contractuales, en términos de las disposiciones aplicables.

1.1 "Lista de verificación para el seguimiento de los compromisos contractuales",
1.2 "Reporte de avance sobre el cumplimiento de los compromisos del proveedor",
1.3 "Informe de revisión a los compromisos del contrato", formato sugerido: anexo 11, formato
3.

1.1 Responsable del proceso APBS- Administración de proveedores de bienes y
servicios deTIC.
1.2 Administrador del contrato.
Frecuencia
de cálculo
Cumplimient Conocer el Medir el Dimensión: % de eficiencia= (Número El Responsable del Semestral.

o del grado de cumplimiento del Eficiencia. de revisiones ejecutadas / proceso APBS-
proceso. cumplimiento proceso por Tipo: Número de revisiones de Administración de
del proceso. medio de la avance y conclusión proveedores de
actividad de De gestión. requeridas como mínimo bienes y servicios
revisión sobre para asegurar el de TIC.
contratos. cumplimiento del contrato)
X 100

1.1 Este proceso deberá ejecutarse con estricto apego a las disposiciones jurídicas que
enmateria de adquisiciones y arrendamientos de bienes muebles y servicios de
cualquiernaturaleza resulten aplicables, así como al Acuerdo por el que se expide el
ManualAdministrativo de Aplicación General en Materia de Adquisiciones, Arrendamientos
yServicios del Sector Público.
5.6 AS - ADMINISTRACION DE SERVICIOS
5.6.1 APS - Administración del portafolio de servicios de TIC
General:
Definir los compromisos y costos de los servicios de TIC necesarios para mantener el
adecuadofuncionamiento de la Institución, así como identificar iniciativas de creación de servicios de
TIC susceptibles de aportar beneficios importantes en el cumplimiento de los objetivos estratégicos de
la Institución.
Específicos:
1. Contar con mecanismos para la toma de decisiones de carácter estratégico relacionadas con losservicios
de TIC.
2. Contar con un esquema de evaluación adecuado, comparable, transparente y repetible, que considere el
valor, los beneficios y los riesgos de los Casos de negocio de servicios de TIC, armonizado con lo
establecido en el proceso APP- Administración del portafolio de proyectos de TIC.
3. Proporcionar a los mandos medios y superiores información clara y precisa sobre los servicios de TIC.
APS-1 Establecer un portafolio de servicios de TIC

Descripción Crear y mantener un registro detallado de los servicios de TIC existentes en la
Institución,así como de las iniciativas para la creación de nuevos servicios de TIC.
Factorescríticos El Administrador del portafolio de servicios de TIC, con apoyo del Responsable
de la planeación estratégica de TIC y de los servidores públicos de la
UTICresponsables de los servicios en operación, deberá:
1. Recabar información de las Unidades administrativas solicitantes y usuarios, respecto a
su visión a corto y largo plazo, relacionada con:
a) Los servicios de TIC necesarios para alcanzar las metas de los objetivosinstitucionales.
b) Las capacidades y recursos estimados para implantar los servicios de TIC que se
requieren para cumplir con los objetivos referidos.
c) La ruta crítica para la entrega de los servicios de TIC.
2. Recabar la información con que cuenten las Unidades administrativas
solicitantes,respecto a la definición de los servicios de TIC existentes y los propuestos,
con elpropósito de obtener información única y consistente.
3. Recabar la información técnica de los servicios de TIC existentes y los propuestos.
4. Integrar la información obtenida e incluir en el Repositorio del portafolio de servicios de
TIC, los datos de los servicios de TIC durante todo su ciclo de vida, desde
suconceptualización, diseño, transición, operación hasta su retiro de la operación.
ElRepositorio del portafolio de servicios de TIC incluye el Catálogo de servicios de TIC.
5. Constatar que se elabore para cada servicio contenido en el portafolio de servicios de
TIC, su correspondiente caso de negocio, en el que se defina la justificación técnica y
económica del servicio de TIC para visualizar su valor.
6. Incluir en el portafolio de servicios de TIC, los servicios de TIC que proveen terceros.
APS-2 Definir y mantener actualizadas las categorías de los servicios de TIC

Descripción Determinar las categorías de los servicios contenidos en el portafolio de servicios de
TIC y mantenerlas actualizadas.
Factorescríticos El Administrador del portafolio de servicios de TIC deberá:
1. Elaborar el Documento de categorías de servicios de TIC, en que se definan
lascategorías en las que se agruparán los servicios del portafolio de servicios de
TIC,con base en los objetivos establecidos por las Unidades administrativas solicitantes.
2. Mantener actualizadas las categorías del portafolio de servicios de TIC, según
lasnecesidades de la Institución.
3. Determinar, para cada categoría, las propiedades técnicas de los datos e informaciónde
los servicios que serán administrados por medio del portafolio de servicios de TIC.
APS-3 Analizar y priorizar los servicios contenidos en el portafolio de servicios de TIC

Descripción Realizar un análisis para determinar las prioridades de los servicios de TIC que
seencuentran en el portafolio de servicios de TIC, con el propósito de
sustentar técnicamente las decisiones de inversión.
1. Evaluar las inversiones de los servicios de TIC incluidos en el portafolio de servicios de
TIC, considerando las alternativas siguientes:
a) Mantenimiento del servicio. Se centran en el costo del mantenimiento de lasoperaciones
de los servicios de TIC.
b) Crecimiento del servicio. Se encaminan a lograr un mayor alcance o cobertura de los
servicios de TIC.
c) Transformación del servicio. Se orientan a la diversificación de los servicios deTIC.
2. Evaluar, en términos de riesgo, desempeño y beneficios, cada servicio de TIC.
3. Determinar la prioridad para cada iniciativa o proyecto de TIC, asignando a éstos
unvalor único, en función de su contribución al logro de los objetivos de la
Institución,beneficios, costos y riesgos relevantes.
El Administrador del portafolio de servicios de TIC deberá:
4. Elaborar el Documento de valoración de servicios de TIC, que incluya la relación de los
servicios de TIC con el valor y prioridad asignados por el Grupo de trabajo para
ladirección de TIC, conforme a los factores críticos anteriores.
5. Actualizar el Repositorio del portafolio de servicios de TIC con los datos que resultende
esta actividad.
APS-4 Establecer y mantener actualizado el Catálogo de servicios de TIC

Descripción Establecer en el portafolio de servicios de TIC, el Catálogo de servicios de TIC, en el
que se identifiquen, registren y actualicen los datos de los servicios en operación.
Factorescríticos El Administrador del portafolio de servicios de TIC deberá:
1. Coordinar la integración del Catálogo de servicios de TIC, a efecto de que éste incluya
respecto de cada servicio, cuando menos, la información siguiente:
a) Descripción, resumida y detallada.
b) Responsable técnico y, en su caso, usuario del servicio (Unidad
administrativasolicitante).
c) Arquitectura.
d) Disponibilidad.
e) Métricas y reportes.
f) Estado del servicio.
2. Coordinar la actualización del Catálogo de servicios de TIC, a cuyo efecto
deberáconsiderar la información contenida en el Repositorio de configuraciones previsto
en el proceso ACNF- Administración de la configuración, y asegurar con ello
la consistencia de los datos del Catálogo de servicios de TIC.
3. Mantener informados de los cambios al portafolio y al Catálogo de servicios de TIC, al
Responsable del diseño integral de los servicios de TIC; a cada Responsable dediseño
del servicio de TIC, así como al Recurso humano en la UTIC, responsable de los
servicios de TIC existentes o que se encuentre involucrado en este proceso.
4. Mantener disponible el Catálogo de servicios de TIC al Grupo de trabajo para
ladirección de TIC, a las Unidades administrativas solicitantes y al Recurso humano
en la UTIC, mediante una vista del Repositorio del portafolio de servicios de TIC
acorde con el nivel de acceso otorgado.
APS-5 Aprobar el rendimiento del portafolio de servicios de TIC

Descripción Analizar las Iniciativas de TIC, relativas a servicios en curso o propuestos,
para determinar de acuerdo a su viabilidad, la mejora en el rendimiento del portafolio
de servicios de TIC.
1. Analizar, con base en las necesidades y objetivos estratégicos de la Institución,
laevolución del portafolio de servicios de TIC y el logro de sus objetivos.
2. Autorizar o cancelar Iniciativas TIC, relativas a servicios de TIC, considerando
losrecursos financieros disponibles y el resultado del factor crítico anterior.
3. Actualizar el portafolio de servicios de TIC, mediante la elaboración y registro de
unaSolicitud de cambios al portafolio de servicios de TIC.
4. Verificar que se mantenga disponible una Bitácora de cambios al portafolio deservicios
de TIC, la cual podrá ser una vista del Repositorio del portafolio de serviciosde TIC.
5. Constatar que en el Repositorio del portafolio de servicios de TIC, se
mantengaactualizado el estado de cada servicio de TIC, conforme a lo siguiente:
a) Conservación. El servicio y sus activos están alineados a los objetivos de laInstitución.
b) Reemplazo. El servicio y sus activos no están alineados a los objetivos de laInstitución.
c) Racionalización. El servicio cuenta con funcionalidades similares en diversosmedios de
entrega.
d) Renovación. El servicio satisface la funcionalidad, pero requiere el reemplazo dealgunos
componentes tecnológicos.
e) Retiro. El servicio y sus activos no cumplen con los niveles mínimos defuncionalidad ni
tecnológicos.
APS-6 Evaluar el portafolio de servicios de TIC

Descripción Evaluar que las prioridades establecidas en el portafolio de servicios de TIC,
esténalineadas con los objetivos estratégicos de la Institución, y verificar que exista
un equilibrio adecuado entre los servicios en operación y los que se encuentran
en desarrollo.

1. Definir, de acuerdo a las necesidades de la Institución, los criterios técnicos para
laevaluación del portafolio de servicios de TIC.
2. Efectuar la evaluación del portafolio de servicios de TIC y determinar los
ajustesnecesarios, a fin de optimizar al máximo la aplicación de recursos al portafolio
yreflejar el equilibrio deseado en las Iniciativas, proyectos y servicios de TIC
adesarrollar.
3. Documentar y dar seguimiento a los ajustes determinados por el Grupo de trabajo para
la dirección de TIC.
4. Realizar, al menos trimestralmente, evaluaciones sobre el portafolio de servicios de TIC
para conocer su rendimiento.
5. Generar, con la información obtenida del factor crítico anterior, el Reporte deresultados
de evaluación sobre el rendimiento del portafolio de servicios de TIC, ydifundirlo a los
involucrados.
1.1 "Caso de negocio de servicio de TIC", formato sugerido: anexo 12, formato 1.
1.2 "Solicitud de cambios al portafolio de servicios de TIC", formato sugerido: anexo
12,formato 2.
1.3 "Bitácora de cambios al portafolio de servicios de TIC", formato sugerido: anexo
12,formato 3.
1.4 "Reporte de resultados de evaluación sobre el rendimiento del portafolio de servicios
deTIC", formato sugerido: anexo 12, formato 4.
1.5 "Repositorio del portafolio de servicios de TIC", definido por la Institución.
1.6 "Documento de categorías de servicios de TIC", conforme al formato que defina
laInstitución.
1.7 "Documento de valoración de servicios de TIC", conforme al formato que defina
laInstitución.
1.8 "Catálogo de servicios de TIC", conforme al formato que defina la Institución.

1.2 Administrador del portafolio de servicios de TIC.
Frecuencia de
cálculo
Cumplimiento Medir el grado Medir el Dimensión: % de eficiencia= El Responsable del Anual.
del proceso. de cumplimiento cumplimiento en Eficiencia. (Número de proceso APS-
del proceso. la ejecución de Tipo: evaluaciones Administración del
las evaluaciones De gestión. efectuadas / portafolio de
trimestrales sobre Número de servicios de TIC.
el portafolio de evaluaciones
servicios de TIC. del periodo que
se reporta) X
100

1.1 El Responsable del portafolio de servicios de TIC es el Responsable de este proceso.
1.2 El Responsable de este proceso deberá coordinarse con el Responsable del
proceso APP- Administración del portafolio de proyectos de TIC, a efecto de que
las modificaciones al portafolio de servicios de TIC sean consideradas en la
administración del portafolio de proyectos de TIC.
5.6.2 DSTI - Diseño de servicios de TIC

General:
Diseñar los servicios de TIC que la Institución requiere, con la finalidad de que se consideren, de
maneraintegral y desde su diseño, aspectos relevantes sobre la capacidad, disponibilidad y
continuidad requeridas, considerando las ventajas de la existencia de un portafolio de servicios de TIC.
Específicos:
1. Diseñar servicios de TIC que contemplen los niveles necesarios de seguridad, continuidad, disponibilidad y
capacidad de TIC para satisfacer los requerimientos de la Institución.
2. Definir especificaciones en los diseños de servicios de TIC que permitan construirlos y desplegarlos
enfunción de las necesidades de la Institución.
3. Identificar y administrar riesgos, desde el diseño de los servicios de TIC, para que puedan sereliminados,
transferidos o mitigados.
4. Diseñar la arquitectura de los servicios de TIC, para satisfacer las necesidades actuales y previstas dela
Institución.
DSTI-1 Diseñar soluciones de servicio de TIC

Descripción Definir la planeación y especificaciones técnicas para el diseño de servicios de
TIC,nuevos o existentes, para que cumplan con las necesidades o requerimientos de
laInstitución.
Factorescríticos El Responsable del diseño integral de los servicios de TIC, para cada servicio
deTIC a diseñar, deberá:
1. Asignar al Responsable de diseño del servicio de TIC.
El Responsable de diseño del servicio de TIC deberá:
2. Definir, en coordinación con los involucrados, los requerimientos del servicio de TIC.
3. Realizar un análisis de los requerimientos asociados al servicio de TIC, y verificar que
se documenten y aprueben por los diversos involucrados. Estos requerimientos son la
base para las actividades de diseño posteriores, por lo que cualquier modificación
estará sujeta a un control de cambios.
Para efectuar el análisis señalado, deberá considerar:
a) Para servicios ya existentes, los requerimientos de:
i) Funcionalidad e infraestructura.
ii) Cambios en los procesos de la Institución, prioridades, importancia e impacto.
iii) Cambios en los volúmenes de transacciones del servicio de TIC.
iv) Cambios en los niveles de servicio y sus metas.
v) Otros que estime pertinentes.
b) Para servicios nuevos, los requerimientos de:
i) Funcionalidad e infraestructura.
ii) Administración del servicio.
iii) Procesos de la Institución involucrados, prioridades, importancia e impacto y beneficios.
iv) Niveles de servicio y sus metas.
v) Niveles de transacciones, número y tipo de usuarios y crecimientoproyectado.
vi) Caso de negocio, en el que se contengan los aspectos relativos alpresupuesto y
beneficios del servicio a diseñar, así como su contribución alcumplimiento de metas y
objetivos estratégicos de la Institución.
vii) Estimación sobre cambios que eventualmente pudieran presentarse en elservicio.
viii) Niveles de capacidad y de soporte que se prevé requerir.
ix) Otros que estime pertinentes.
4. Verificar la infraestructura, componentes y servicios de TIC existentes, con
unaperspectiva de reutilización, siempre que sea posible.
5. Elaborar las especificaciones técnicas de la posible o posibles soluciones al serviciode
TIC requerido. Dichas especificaciones deberán considerar lo siguiente:
a) El proceso o procesos de la Institución que se tiene contemplado atender con elservicio
de TIC.
b) Instalaciones, funcionalidad e información para monitoreo del servicio de TIC delservicio
en diseño.
c) El ciclo de vida del servicio de TIC, incluyendo su escalabilidad en base a lademanda
proyectada.
d) Los requerimientos y metas de los niveles de servicio, esperadas ycomprometidas.
e) Los requerimientos para la realización de pruebas del servicio de TIC, incluida
laaceptación de la Unidad administrativa solicitante para ello.
f) Los Acuerdos de nivel operacional OLA existentes y, en su caso, los que debanser
acordados en la UTIC, para la operación del servicio de TIC de que se trate.
g) Los servicios de TIC que se tengan contratados y que se relacionen con elservicio en
diseño.
6. Documentar los criterios técnicos para la aceptación del servicio de TIC en diseño.
7. Evaluar las diversas alternativas de solución para el servicio de TIC, en cuanto atiempo,
costo, beneficio a la Institución y grado de cumplimiento a los requerimientosdel servicio
de TIC, para seleccionar la alternativa más apropiada.
8. Analizar si el presupuesto estimado en el proceso APS- Administración del portafoliode
servicios de TIC, es suficiente para el servicio de TIC que se está diseñando y, ensu
caso, comunicar al Responsable del diseño integral de los servicios de TIC, la
8. Analizar si el presupuesto estimado en el proceso APS- Administración del portafoliode
servicios de TIC, es suficiente para el servicio de TIC que se está diseñando y, ensu
caso, comunicar al Responsable del diseño integral de los servicios de TIC, lanecesidad
de realizar ajustes al presupuesto estimado.
9. Verificar que la solución para el servicio de TIC que se hubiere seleccionado seencuentre
alineada al Programa de tecnología.
10. Verificar que la solución para el servicio de TIC que se hubiere seleccionado, cumplacon
los controles previstos en los procesos ARTI- Administración de riesgos de TIC yASSI-
Administración de la seguridad de los sistemas informáticos.
11. Evaluar que la solución para el servicio de TIC que se hubiere seleccionado pueda ser
operada de manera que cumpla con las metas de los niveles de servicio requeridas, para
lo cual definirá las métricas que estime necesarias.
12. Efectuar el Análisis del impacto al negocio, en el que se contemplen los beneficios
ycontribución de la solución seleccionada para el servicio de TIC, en cada etapa de
suciclo de vida.
13. Identificar los riesgos asociados a la solución seleccionada para el servicio de TIC,
yestablecer los controles para su operación, seguridad, disponibilidad y continuidad.
14. Evaluar, en coordinación con la Unidad administrativa solicitante, la capacidad técnica y
administrativa requerida por la Institución para la operación de la soluciónseleccionada
para el servicio de TIC.
15. Evaluar la capacidad de la infraestructura de TIC de la Institución, para lo cual sedeberá
considerar lo siguiente:
a) El impacto que tendría la solución seleccionada para el servicio de TIC, respectode la
operación de otros servicios de TIC y en los procesos de la UTIC.
b) La arquitectura tecnológica necesaria para la operación de la soluciónseleccionada para el
servicio de TIC que se está diseñando.
16. Integrar el Paquete de diseño del servicio de TIC, con la información obtenida en
losfactores críticos anteriores. El Paquete de diseño del servicio de TIC es un insumopara
los grupos de procesos DA, TE, OP y OS.
17. Incorporar y actualizar en el Repositorio del portafolio de servicios de TIC, lainformación
del Paquete de diseño del servicio de TIC.
DSTI-2 Diseñar la arquitectura tecnológica de los servicios de TIC

Descripción Proveer los modelos arquitectónicos para el desarrollo y despliegue de la
infraestructurade TIC que resulta necesaria para la operación de un servicio o un grupo
de servicios deTIC.
Factorescríticos El Responsable de diseño del servicio de TIC, con apoyo del Grupo de trabajo
dearquitectura tecnológica, deberá:
1. Adoptar una metodología para el desarrollo de modelos de arquitectura de servicios de
TIC que aseguren la homologación y consistencia de la arquitectura
tecnológicarequerida para la operación del servicio de TIC en proceso de diseño, con
laarquitectura tecnológica de la UTIC, en operación y planeada.
2. Diseñar, con base en la metodología adoptada, la arquitectura tecnológica
necesariapara el servicio de TIC, nuevo o modificado, en proceso de diseño.
3. Constatar que las infraestructuras de TIC, ambientes, datos, aplicaciones y
serviciosexternos involucrados en la arquitectura del servicio de TIC en proceso de
diseño, seapeguen a las directrices de arquitectura tecnológica y a los principios de
los dominios tecnológicos de la UTIC.
4. Verificar que los requerimientos tecnológicos del servicio de TIC en proceso de diseño,
se incorporen al Programa de tecnología previsto en el proceso DDT- Determinación de
la dirección tecnológica, y al Programa de aprovisionamiento de la infraestructura
tecnológica.
5. Elaborar, con la información obtenida en los factores críticos anteriores, el documento
de Diseño de la arquitectura de servicios de TIC.
6. Verificar que el diseño del servicio de TIC no contravenga la normativa aplicable
enmateria de TIC.
DSTI-3 Administrar la capacidad de la infraestructura de TIC

Descripción Elaborar el Programa de capacidad y darle seguimiento, a fin de asegurar la operación
delos servicios de TIC conforme a los compromisos y niveles de servicio acordados.
Factorescríticos El Responsable del diseño integral de los servicios de TIC, con apoyo del Grupo
de trabajo de arquitectura tecnológica y de los Responsables de los
dominiostecnológicos, deberá:
1. Elaborar el Programa de capacidad que le permita a la UTIC cumplir con: los niveles de
servicio acordados, el crecimiento previsto de la demanda de infraestructura, la mejora
de los niveles de servicio y la incorporación de los nuevos servicios de TIC que, de
acuerdo al portafolio de servicios de TIC, se tiene previsto inicien su operación.
Para la elaboración del Programa de capacidad, será necesario:
a) Determinar el balance entre la demanda de los servicios de TIC y la capacidad de la
infraestructura de TIC, para conocer la suficiencia de cada uno de suscomponentes.
b) Establecer escenarios para las diversas proyecciones de demanda de losservicios de
TIC y considerar, de ser el caso, opciones respecto de los niveles ymetas de servicio
acordados, señalando invariablemente los riesgos que cadaescenario conlleve.
c) Determinar los componentes de la infraestructura de TIC que son necesarios para
cumplir con los requerimientos de desempeño y disponibilidad de los servicios de TIC,
tanto de los existentes como de los proyectados.
d) Identificar los Activos de TIC que requieren actualizarse, mejorarse o
inclusive,sustituirse, así como las fechas propuestas y los costos estimados en
cada caso.
2. Verificar, al menos trimestralmente, la capacidad y rendimiento de la infraestructura de
TIC, para determinar si ésta es suficiente para prestar los servicios de TIC con
losniveles de servicio acordados, para lo cual será necesario:
a) Monitorear el rendimiento actual y la capacidad utilizada.
b) Obtener información de los incidentes que se han presentado por falta decapacidad.
c) Evaluar los niveles de la capacidad y rendimiento de la infraestructura conrespecto a:
i) los niveles de servicio originalmente acordados.
ii) los niveles de servicio efectivamente proporcionados.
iii) los niveles de servicio que, de acuerdo con el Programa de capacidad, sehubieren
estimado.
3. Elaborar, al menos trimestralmente, un pronóstico sobre la capacidad y rendimiento de
la infraestructura de TIC, para mitigar el riesgo de interrupciones o la degradación de los
niveles de servicio que podrían presentarse por la falta de capacidad suficiente de la
infraestructura de TIC.
4. Identificar la disponibilidad de capacidad de los distintos componentes de
lainfraestructura de TIC, para su posible redistribución.
5. Identificar las tendencias de las cargas de trabajo de los componentes de
lainfraestructura, en condiciones normales y de contingencia, así como determinar
susproyecciones, para que sean incluidas en el Programa de capacidad.
6. Definir las acciones a implementar cuando la capacidad y rendimiento de
lainfraestructura de TIC no estén en el nivel requerido, tales como: ajustar la
prioridad de las tareas de los componentes de la infraestructura de TIC, instaurar
mecanismos de recuperación en caso de fallas, entre otras.
7. Incluir en los Programas de continuidad, previstos en la actividad DSTI-5 de
esteproceso, las características de capacidad y rendimiento de cada componente de
lainfraestructura de TIC, con la finalidad de que éstos se puedan utilizar, en
casonecesario, de manera individual.
8. Mantener informados a los integrantes del Grupo de trabajo de arquitecturatecnológica,
así como a los Responsables de los dominios tecnológicos de:
a) Las oportunidades identificadas para mejorar la capacidad de la arquitecturatecnológica
en operación y realizar recomendaciones sobre los incidentes porfalta de capacidad de
b) Los niveles de servicio alcanzados.
DSTI-4 Administrar la disponibilidad de servicios de TIC
Descripción Elaborar el Programa de disponibilidad y darle seguimiento, a efecto de asegurar
losrequerimientos actuales y los previstos en la entrega de servicios de TIC.
Factorescríticos El Responsable del diseño integral de los servicios de TIC, con apoyo del Grupo
de trabajo de arquitectura tecnológica y de los Responsables de los procesos de
los grupos OS y OP, deberá:
1. Elaborar el Programa de disponibilidad que permita a la UTIC cumplir con los niveles de
servicio acordados, soportado en la capacidad actual de la infraestructura de TIC en
operación, y en las proyecciones para los nuevos servicios incluidos en el portafolio de
servicios de TIC.
Para la elaboración del Programa de disponibilidad, será necesario considerar:
a) La información contenida en el Programa de capacidad, elaborado en la actividad DSTI-
3 de este proceso.
b) Los requerimientos, actuales y previstos, de disponibilidad de los servicios de TIC.
c) La disponibilidad de los componentes de la infraestructura de TIC que soportan los
servicios de TIC, incluidos los proporcionados por terceros.
d) Los tiempos en que se requiere adecuar la disponibilidad de los componentes de la
infraestructura de TIC.
e) Los riesgos que pudieran materializarse al efectuar adecuaciones a loscomponentes de
f) Los costos estimados para llevar a cabo las adecuaciones que permitan obtenerla
disponibilidad esperada.
2. Revisar, al menos trimestralmente, la disponibilidad de los servicios de TIC
paradeterminar el cumplimiento de los niveles de servicio acordados, en función de
ladisponibilidad de la infraestructura de TIC.
3. Obtener información de los incidentes que se han presentado por falta dedisponibilidad.
4. Evaluar los niveles de disponibilidad de los servicios de TIC y de los componentes de la
infraestructura de TIC con respecto a:
a) los niveles de servicio originalmente acordados.
b) los niveles de servicio efectivamente proporcionados.
c) los niveles de servicio que, de acuerdo con el Programa de disponibilidad, sehubieren
estimado.
5. Incluir en los Programas de continuidad, previstos en la actividad DSTI-5 de
esteproceso, las características de disponibilidad, capacidad y rendimiento de
cadacomponente de la infraestructura de TIC, con el propósito de que éstos
se fortalezcan en lo individual, en caso necesario.
6. Mantener informados a los integrantes del Grupo de trabajo de arquitecturatecnológica,
así como a los Responsables de los dominios tecnológicos de:
a) Las oportunidades identificadas para mejorar la disponibilidad de la
arquitecturatecnológica en operación y realizar recomendaciones sobre los incidentes
porfalta de disponibilidad de la infraestructura de TIC.
b) Los niveles de servicio alcanzados.
DSTI-5 Administrar la continuidad de servicios de TIC
Descripción Asegurar a la Institución el mínimo impacto en caso de alguna interrupción en
Factorescríticos El Responsable de diseño del servicio de TIC, con apoyo del Grupo de trabajo
dearquitectura tecnológica y de los Responsables de los procesos de los grupos
OS y OP, deberá:
1. Efectuar el Análisis de impacto al negocio, en el que se identifiquen las
funciones,actividades, áreas o unidades administrativas, así como los servicios
que proporciona la Institución que podrían resultar afectados como consecuencia de
la interrupción de uno o más servicios de TIC, así como el alcance de
las consecuencias que se generarían.
2. Elaborar el Programa de continuidad, que articule las diferentes acciones que habránde
realizarse para la continuidad de los servicios de TIC y que permita determinar
laresistencia requerida por la infraestructura de TIC.
Para elaborar el programa, será necesario tomar en cuenta lo siguiente:
a) Los resultados del Análisis de impacto al negocio y la estrategia de
recuperacióndeterminada en el proceso ARTI- Administración de riesgos de TIC.
b) La cobertura de roles de los responsables de los servicios de TIC, internos yexternos,
así como del responsable de la administración de los Usuarios.
c) La forma para documentar, probar y ejecutar técnicamente la recuperación de un
servicio de TIC en caso de desastre, así como los programas de contingencia de TIC.
d) Los requerimientos de resistencia, procesamiento alternativo y capacidad
derecuperación de los servicios críticos de TIC.
e) La identificación de activos y recursos críticos de TIC, el monitoreo y reporte de la
disponibilidad de recursos críticos, el procesamiento alternativo y las directrices de
respaldo y recuperación.
3. Desarrollar el Programa de continuidad, considerando lo previsto en el factor
críticoanterior.
4. Evaluar los puntos críticos previstos en el Programa de continuidad, para:
a) Establecer prioridades en situaciones de recuperación para evitar la recuperación de
servicios de menor impacto y asegurarse de que la respuesta y la recuperación se
encuentren alineadas con las necesidades prioritarias de laInstitución.
b) Vigilar que los costos se mantengan en un nivel aceptable y que se cumpla con la
normativa aplicable, así como con los compromisos asumidos en los
contratoscorrespondientes.
c) Definir los requerimientos de resistencia, respuesta y recuperación para cadaprioridad
establecida.
5. Revisar y, en su caso, actualizar el Programa de continuidad, mediante un mecanismo
de control de cambios y versiones.
6. Efectuar pruebas de recuperación, al menos semestralmente, al Programa
decontinuidad, para confirmar que los servicios de TIC puedan ser recuperados
de forma efectiva, que las deficiencias serán atendidas y comprobar su vigencia
o efectuar actualización.
7. Definir el alcance de las pruebas de recuperación en aplicaciones individuales,
enescenarios de pruebas controlados, en pruebas de punta a punta y en
pruebasintegradas con el proveedor.
8. Actualizar el Programa de continuidad, con las medidas correctivas que se definansobre
los hallazgos e incidentes que se hayan presentado en las pruebas derecuperación
efectuadas, así como con las lecciones aprendidas que apliquen.
9. Difundir y mantener disponible, de manera segura, el Programa de continuidad y
loscambios que se realicen al mismo, a efecto de que los involucrados en
dicho programa lo consulten cuando así lo requieran, inclusive bajo escenarios
de desastre.
10. Llevar a cabo, conjuntamente con los involucrados en el Programa de continuidad,
almenos cada seis meses, una revisión del contenido del mismo para que cada uno
deellos conozca sin lugar a dudas cuál será su desempeño en las diversas
actividadesque habrán de realizarse en caso de requerirse la aplicación del programa.
11. Elaborar, en coordinación con los Responsables de los procesos de la UTIC y con
11. Elaborar, en coordinación con los Responsables de los procesos de la UTIC y conbase a
los requerimientos de los responsables de los procesos sustantivos de laInstitución, la
propuesta sobre el contenido de los respaldos a almacenar, ypresentarla al Titular de la
UTIC, para que de estimarla adecuada solicite la aprobación del Grupo de trabajo para la
dirección de TIC.
12. Establecer, en la medida de lo posible, fuera de las instalaciones operativas
de laInstitución, el resguardo de los medios que contengan los respaldos y
ladocumentación requerida para su restauración, así como de cualquier otro recurso de
TIC considerado crítico y que es necesario para la recuperación de los servicios de TIC,
de acuerdo con los programas de continuidad establecidos.
13. Verificar que la administración del sitio del resguardo a que se refiere el factor
críticoanterior cumpla con los controles del SGSI de la UTIC.

1.1 "Paquete de diseño del servicio de TIC", formato sugerido: anexo 13, formato 1.
1.2 "Diseño de la arquitectura de servicios de TIC", formato sugerido: anexo 13, formato 2.
1.3 "Programa de capacidad", formato sugerido: anexo 13, formato 3.
1.4 "Programa de disponibilidad", formato sugerido: anexo 13, formato 4.
1.5 "Análisis de impacto al negocio", formato sugerido: anexo 13, formato 5.
1.6 "Programa de continuidad", formato sugerido: anexo 13, formato 6.
1.7 "Repositorio del portafolio de servicios de TIC", definido por la Institución.

1.1 Responsable del diseño integral de los servicios de TIC.
1.2 Responsable de diseño del servicio de TIC.
Frecuencia
de cálculo
Eficiencia del Medir la Por medio de Dimensión: % de eficiencia= El Responsable Anual.

proceso. eficiencia del métricas de Eficiencia. (Número de Paquetes del proceso DSTI-
proceso en cumplimiento de Tipo: del diseño de servicios Diseño de
función del las solicitudes de de TIC elaborados / servicios de TIC.
cumplimiento diseño recibidas De gestión. Total de solicitudes de
de diseños de en comparación diseño de servicios de
servicios de TIC con los diseños TIC) X 100
solicitados. entregados.
Cumplimiento Obtener la Medir la Dimensión: % de eficiencia= El Responsable Semestral.

de los medición del eficiencia en el Eficiencia. (Actualizaciones y del proceso DSTI-
programas del cumplimiento despliegue de pruebas efectuadas Diseño de
proceso. en el desarrollo, los programas Tipo: según los programas servicios de TIC.
actualización y del proceso. De Gestión. del proceso/
aplicaciones de Actualizaciones y
los programas pruebas que debieron
del proceso. efectuarse según los
programas del proceso)
X 100
1.1 El Responsable del diseño integral de los servicios de TIC es el Responsable de
esteproceso.
1.2 El Responsable de este proceso se asegurará de que los diseños de servicios que
seaprueben por el Responsable del portafolio de servicios de TIC en el proceso APS-
Administración del portafolio de servicios de TIC, sean desarrollados con
independencia de que se trate de nuevos servicios o de modificaciones a servicios
existentes.
1.3 El Responsable de este proceso deberá asegurarse que el hardware y el software
derecuperación utilizado en la aplicación del Programa de continuidad sea funcional,
pararestablecer, probar y renovar los respaldos al menos semestralmente.
5.7 AD - ADMINISTRACION PARA EL DESARROLLO DE SOLUCIONES TECNOLOGICAS
5.7.1 ATC - Apoyo técnico para la contratación de soluciones tecnológicas de TIC
General:
Definir los requerimientos de las soluciones tecnológicas de TIC, apoyar técnicamente su contratación
y dar seguimiento al desarrollo de las mismas hasta su entrega, mediante acciones coordinadas con
la unidad administrativa responsable de realizar los procedimientos de contratación en la Institución,
los responsables de la implantación técnica de dichas soluciones en la UTIC y, en su caso, con la
Unidad administrativa solicitante.
Específicos:
1. Definir las características técnicas de las soluciones tecnológicas de TIC que se requieran
contratar,considerando los requerimientos y restricciones identificadas.
2. Evaluar técnicamente las propuestas de soluciones tecnológicas que presenten los diversosproveedores,
con el propósito de identificar la mejor propuesta técnica de acuerdo a las necesidadesde la Institución.
3. Apoyar, conforme al ámbito de atribuciones de la UTIC y de acuerdo a las disposiciones
jurídicasaplicables, la contratación de soluciones tecnológicas.
4. Administrar la entrega de las soluciones tecnológicas adquiridas, incluyendo su
configuración,personalización, puesta en operación y demás actividades que se hayan establecido en
sucontratación.
ATC-1 Definir los requerimientos técnicos de las soluciones tecnológicas de TIC

Descripción Identificar la información que permita definir los requerimientos de las
solucionestecnológicas, su alcance y las características técnicas que servirán para
integrar laPropuesta de anexo técnico necesario para su contratación, en términos de
lasdisposiciones jurídicas aplicables en materia de adquisiciones y arrendamiento de
bienesmuebles y servicios de cualquier naturaleza.
Factorescríticos El Líder técnico de requerimientos para la solución tecnológica de TIC deberá:

1. Coordinarse con el Administrador del portafolio de proyectos de TIC, para que
elproyecto correspondiente a la solución tecnológica se inscriba en el portafolio
deproyectos de TIC y que se asigne un Responsable de proyecto.
El Analista de requerimientos de soluciones tecnológicas de TIC, con apoyo
delRepresentante de la unidad administrativa solicitante, cuando así
corresponda;deberá:
2. Identificar las necesidades de TIC de la Unidad administrativa solicitante, así como de
los requerimientos técnicos para la contratación de la solución tecnológica de TIC de
que se trate, considerando al menos, lo siguiente:
a) Requerimientos funcionales.
b) Sistemas, procesos o datos, que serán insumo de la solución tecnológica de TIC o que
generarán una o más acciones sobre ésta.
c) Sistemas, procesos o datos, a los que la solución tecnológica de TIC les proveerá
insumos o sobre los cuales generará una o más acciones.
d) Volumen de datos.
e) Concurrencia de Usuarios.
f) Perfiles y privilegios de Usuarios.
g) Procesos involucrados.
h) Estándares y normativa que aplican a la solución tecnológica.
i) Proyecciones de crecimiento (funcionalidad, datos, concurrencia de Usuarios y de
transacciones).
j) Restricciones.
k) Tiempos de entrega.
l) Costo estimado.
m) Factores críticos de éxito y riesgos.
3. Priorizar los requerimientos identificados.
4. Elaborar la propuesta de Documento de requerimientos de la solución tecnológica
deTIC con la información obtenida de los factores críticos anteriores.
5. Verificar que los requerimientos contenidos en la propuesta señalada en el factorcrítico
anterior cubran los escenarios operacionales indispensables, así como que losmétodos
de operación de la solución tecnológica de TIC estén definidos ydocumentados.
6. Analizar los posibles riesgos, así como las estrategias de mitigación y contingencia de
los escenarios operacionales definidos.
7. Proponer los criterios técnicos de aceptación para la solución tecnológica, con baseen
los requerimientos funcionales y no funcionales identificados.
El Líder técnico de requerimientos para la solución tecnológica de TIC deberá:
8. Dar su conformidad a la propuesta de Documento de requerimientos de la
solucióntecnológica de TIC y obtener, en su caso, la aprobación de la Unidad
administrativasolicitante.
9. Revisar el Sistema de Inventario de Aplicaciones de la APF, para identificar si en
lasdemás Instituciones existe alguna solución tecnológica similar a la requerida,
quepodría satisfacer las necesidades de la Unidad administrativa solicitante y
sercompatible con la infraestructura de TIC de la Institución.
10. Comunicar al Titular de la UTIC el resultado de la revisión efectuada conforme al factor
crítico anterior, con la finalidad de que:
a) Se realicen las gestiones necesarias para la obtención de la solución tecnológica
identificada y, en su caso, adaptarla a las necesidades de la Institución, por medio del
proceso DST Desarrollo de soluciones tecnológicas.
b) Se continúe con el factor crítico siguiente.
11. Designar al servidor público de la UTIC que fungirá como representante del Areatécnica
para efectos de la contratación respectiva. Dicha designación podrá recaer en el Líder
técnico de requerimientos para la solución tecnológica de TIC.
El servidor público que se designe como representante del Area técnica deberá:
12. Elaborar la Propuesta de anexo técnico que contenga las especificaciones
yrequerimientos técnicos del bien o servicio de TIC que se pretenda contratar, debiendo
incluir al menos: los requerimientos funcionales, no funcionales, niveles de servicio,
términos y condiciones de entrega y aceptación y/o de tiempos de
12. Elaborar la Propuesta de anexo técnico que contenga las especificaciones
yrequerimientos técnicos del bien o servicio de TIC que se pretenda contratar, debiendo
incluir al menos: los requerimientos funcionales, no funcionales, niveles de servicio,
términos y condiciones de entrega y aceptación y/o de tiempos de respuesta de soporte y
servicio, y demás aspectos señalados por la Unidad administrativa solicitante, y realizar
su envío al Responsable del programa para las contrataciones de TIC, previsto en el
proceso ADTI- Administración para las contrataciones de TIC.
13. Elaborar la Propuesta de estudio de mercado para su envío al Responsable delprograma
para las contrataciones de TIC, debiendo incluir en dicha propuesta para elcaso de
software, alternativas de solución tanto de software de código abierto comode soluciones
comerciales.
14. Coordinarse cuando así corresponda, con el servidor público designado
comorepresentante del Area técnica, para la elaboración de las propuestas a que
serefieren los factores críticos 12 y 13.
ATC-2 Participación en el procedimiento para la contratación de soluciones

tecnológicas de TIC
Descripción Colaborar técnicamente con la unidad administrativa responsable de
realizar losprocedimientos de contratación en la Institución, de conformidad con el
proceso ADTI-Administración para las contrataciones de TIC, y con apego a las
disposiciones jurídicas en materia de adquisiciones y arrendamiento de bienes muebles
y servicios de cualquiernaturaleza.
Factorescríticos El Líder técnico de requerimientos para la solución tecnológica de TIC deberá:
1. Validar técnicamente los proyectos de convocatoria para la contratación de TIC,
consujeción a las disposiciones jurídicas aplicables en materia de adquisiciones
yarrendamiento de bienes muebles y servicios de cualquier naturaleza, para lo cual:
a) Verificará la consistencia entre el Documento de requerimientos de la
solucióntecnológica de TIC y el contenido del proyecto de convocatoria y sus anexos.
2. Actualizar, en su caso, por virtud de verificación a que se refiere el factor críticoanterior,
el Documento de requerimientos de la solución tecnológica de TIC.
ATC-3 Monitorear las actividades técnicas del proveedor

Descripción Dar seguimiento técnico a los avances del proveedor respecto a las
solucionestecnológicas de TIC.
Factorescríticos El Líder técnico de requerimientos para la solución tecnológica de TIC, con
apoyo del Responsable de aseguramiento de la calidad y del Administrador
asignado al proyecto, deberá:
1. Elaborar una Matriz de trazabilidad del contrato, que permita dar seguimiento técnico a
las actividades del proveedor, la cual deberá contener al menos:
a) Las relaciones de cruce entre los requerimientos de la solución tecnológica de TIC y los
entregables o productos que serán entregados, determinados en ambos casos
conforme a lo previsto en el contrato y sus anexos.
2. Revisar con el proveedor, los avances a las actividades desarrolladas por éste
conrespecto a:
a) El cumplimiento del objeto del contrato, así como de los términos y
condicionesestablecidos para la entrega de la solución tecnológica.
b) Los incidentes y riesgos identificados para la entrega de la solución tecnológicade TIC,
los cuales se integrarán al Documento de planeación del proyecto,elaborado por el
Administrador de proyecto conforme al proceso APTI-Administración de proyectos de
TIC.
c) El registro de avance y de las acciones preventivas y correctivas adoptadas, asícomo de
las responsabilidades y resultados obtenidos con motivo de la ejecución de dichas
acciones, con base en los hitos y entregables previstos en el contrato y en el
Documento de planeación del proyecto.
3. Elaborar, con la información obtenida de los factores críticos anteriores, el Documento
del resultado de las revisiones de avance.
El Responsable de aseguramiento de la calidad deberá:
4. Seleccionar una muestra de las actividades que lleva a cabo el proveedor.
5. Efectuar la revisión de la calidad sobre la muestra de actividades seleccionada,
eintegrar los resultados de la misma en el Reporte de revisiones de calidad deprocesos,
que incluirá: el nombre del proceso revisado, fecha y responsable de larevisión, los
criterios técnicos de revisión utilizados, los hallazgos encontrados, asícomo el
seguimiento y cierre de los mismos.
6. Monitorear y revisar los resultados del Reporte de revisiones de calidad de procesos.
ATC-4 Aceptación técnica de soluciones tecnológicas de TIC

Descripción Validar que las soluciones tecnológicas de TIC cumplen técnicamente con
losrequerimientos y demás particularidades establecidos en el contrato respectivo.
Factorescríticos El Líder técnico de requerimientos para la solución tecnológica de TIC, con
apoyo del Responsable del proceso APBS- Administración de proveedores de
bienes y servicios de TIC, del Administrador de proyecto y, en su caso del
Representante de la unidad administrativa solicitante; deberá:
1. Revisar a la entrega de la solución tecnológica de TIC, que la misma satisface en
sutotalidad los requerimientos técnicos y demás particularidades establecidos en
elcontrato, y comunicar los resultados de dicha revisión a los demás involucrados
eneste proceso.
El Líder técnico de requerimientos para la solución tecnológica de TIC, deberá:
2. Elaborar y suscribir la Carta de aceptación técnica de la solución tecnológica de TIC, y
recabar la firma de los involucrados en este proceso.
3. Comunicar la aceptación técnica de la solución tecnológica de TIC, a los Responsables
de los procesos de los grupos TE, AS y AR, para efectos del inicio de su transición
hacia la operación.
4. Verificar que se integre la documentación técnica relacionada con la solucióntecnológica
de TIC, necesaria en la ejecución de los procesos de los grupos TE, AS y AR.
1.1 "Documento de requerimientos de la solución tecnológica de TIC", formato
1.2 "Propuesta de estudio de mercado", formato sugerido: anexo 10, formato 2.
1.3 "Propuesta de anexo técnico", formato sugerido: anexo 10, formato 3.
1.4 "Documento del resultado de las revisiones de avance", formato sugerido: anexo
14,formato 2.
1.5 "Reporte de revisiones de calidad de procesos", formato sugerido: anexo 14, formato 3.
1.6 "Matriz de trazabilidad del contrato", formato sugerido: anexo 14, formato 4.
1.7 "Carta de aceptación técnica de la solución tecnológica de TIC", formato sugerido:
anexo14, formato 5.

1.1 Analista de requerimientos de soluciones tecnológicas de TIC.
1.2 Líder técnico de requerimientos para la solución tecnológica de TIC.
1.3 Responsable de aseguramiento de la calidad.
1.4 Representante de la unidad administrativa solicitante.
Frecuencia de
cálculo
Cumplimiento de Obtener una Medir las Dimensión: % de eficiencia= El Responsable Semestral.

requerimientos medición de la desviaciones en Eficiencia. (Número total de del proceso ATC-
de apoyo. eficiencia del los documentos Tipo: requerimientos Apoyo técnico
proceso en base de planeación de de apoyo para la
al cumplimiento proyecto para De gestión. atendidos en contratación de
de cada tiempo y forma / soluciones
requerimientos requerimiento de Número total de tecnológicas de
de apoyo que se apoyo. requerimientos TIC.
reciban. de apoyo
atendidos) X 100

1.1 En la ejecución de este proceso, el Responsable del mismo se deberá asegurar de
que se observe lo establecido en el grupo de procesos PR- Administración de Proyectos.
1.2 El Líder técnico de requerimientos para la solución tecnológica de TIC se coordinará
con la Unidad administrativa solicitante, cuando se requiera su participación para cumplir
conalgún requisito, actividad o compromiso establecido en el contrato, respecto de
la solución tecnológica de TIC de que se trate.
1.3 El Responsable de aseguramiento de la calidad, deberá someter cualquier

solucióntecnológica de TIC que se contrate a las siguientes pruebas: unitarias, integrales
defuncionalidad, estrés, volumen, aceptación del Usuario y de seguridad, con la
finalidad decomprobar la calidad de la solución tecnológica de TIC.
1.4 En aquellos casos en que se integren o adicionen componentes de software, sistemas
oaplicativos a una solución tecnológica o servicio de TIC ya existente, el
Responsable deaseguramiento de la calidad deberá ejecutar las siguientes pruebas:
integrales defuncionalidad, estrés, volumen, aceptación del Usuario y de seguridad, con el
propósito de comprobar que la funcionalidad de la solución o servicio existente se
mantiene inalterada y que la relativa al componente integrado o adicionado es consistente
con la de la solución o servicio de que se trate.
5.7.2 DST - Desarrollo de soluciones tecnológicas de TIC
General:
Establecer el método a seguir para el desarrollo de soluciones tecnológicas de TIC, considerando
laespecificación de los requerimientos, el diseño, el desarrollo, la verificación, validación e integración de
loscomponentes o productos necesarios para su entrega, de manera que se obtenga el
mejoraprovechamiento posible de los recursos de TIC.
Específicos:
1. Definir los requerimientos de la solución tecnológica de TIC de que se trate.
2. Utilizar de manera integral la arquitectura tecnológica definida por la UTIC.
3. Aprovechar los componentes y productos existentes en la arquitectura tecnológica en operación.
4. Efectuar la revisión de la calidad de los desarrollos de las soluciones tecnológicas de TIC.
5. Contar con mecanismos para el monitoreo, identificación y corrección de desviaciones durante
losdesarrollos de las soluciones tecnológicas de TIC.
DST-1 Identificar necesidades y definir los requerimientos de las soluciones

tecnológicas
Descripción Identificar las necesidades, expectativas, restricciones e interfaces para el desarrollo
delas soluciones tecnológicas de TIC y definir los requerimientos de manera detallada.
1. Coordinarse con el Administrador del portafolio de proyectos de TIC, para que
elproyecto correspondiente al desarrollo de la solución tecnológica se inscriba
en elportafolio de proyectos de TIC y que se asigne un Responsable de proyecto.
2. Asegurarse que se elabore el Documento de planeación del proyecto, de acuerdo
alproceso APTI- Administración de proyectos de TIC.
3. Asegurarse que se asignen los roles y responsables para la ejecución del proyecto yse
registren en el Documento de planeación del proyecto.
delRepresentante de la unidad administrativa solicitante, cuando así
corresponda;deberá:
4. Identificar las necesidades de la solución tecnológica que se pretende
desarrollar,tomando en cuenta:
a) La normativa que incide en la solución tecnológica de que se trate.
b) Las expectativas, interfaces y restricciones, existentes y proyectadas.
5. Definir los requerimientos de las soluciones tecnológicas de TIC, para lo cual:
a) Traducirá las necesidades identificadas, en requerimientos específicos.
b) Integrará la información y el diseño de la solución tecnológica de TIC que se haya
desarrollado, mediante el proceso DSTI- Diseño de servicios de TIC.
c) Analizará el modelo de flujo de negocio que será provisto, en su caso, por laUnidad
administrativa solicitante.
6. Revisar y validar los requerimientos específicos definidos conforme a los factorescríticos
4 y 5, así como integrarlos en el Documento de visión de la solucióntecnológica de TIC.
DST-2 Desarrollar los requerimientos de soluciones tecnológicas

Descripción Desarrollar los requerimientos de soluciones tecnológicas de TIC, considerando
loscomponentes o productos asociados a las mismas.
Factorescríticos El Analista de requerimientos de soluciones tecnológicas de TIC deberá:
1. Desarrollar los requerimientos de la solución tecnológica de TIC de que se trate, para lo
cual:
a) Analizará la información contenida en el Documento de visión de la solucióntecnológica
de TIC.
b) Detallará los requerimientos de la solución tecnológica, así como lascaracterísticas de
dichos requerimientos.
c) Definirá el diagrama de flujo y las reglas de negocio, conforme a los cuales lasolución
tecnológica proveerá la funcionalidad requerida.
d) Identificará los requerimientos para cada producto o componente de la
solucióntecnológica, con base en las definiciones del Paquete de diseño del servicio
deTIC, desarrollado en el proceso DSTI- Diseño de servicios de TIC.
2. Identificar interfaces, externas e internas.
3. Establecer las relaciones entre los requerimientos de la solución tecnológica de TIC.
4. Integrar la información de esta actividad en el Documento de especificación
derequerimientos de soluciones tecnológicas, y actualizar el Repositorio
central derequerimientos.
DST-3 Definir y actualizar los requerimientos funcionales de las soluciones tecnológicas

Descripción Definir la descripción de la funcionalidad de la solución tecnológica de TIC y
mantenerlaactualizada durante su desarrollo.
Factorescríticos El Analista de requerimientos de soluciones tecnológicas de TIC deberá:
1. Analizar y definir los requerimientos funcionales de la solución tecnológica de TIC que
se pretende desarrollar.
2. Definir grupos de requerimientos funcionales, con base en conjuntos defuncionalidades
similares, para facilitar y enfocar su análisis.
3. Analizar la secuencia de la funcionalidad y definir el Diagrama conceptual de lasolución
tecnológica.
4. Actualizar el Repositorio central de requerimientos.
DST-4 Analizar y validar los requerimientos de las soluciones tecnológicas

Descripción Analizar los requerimientos de las soluciones tecnológicas y verificar que correspondan
alas necesidades y restricciones descritas en el Documento de visión de la
solucióntecnológica de TIC, y realizar su validación.
Factorescríticos El Analista de requerimientos de soluciones tecnológicas de TIC con
apoyo,cuando corresponda, del Representante de la unidad administrativa
solicitante,deberá:
1. Analizar los requerimientos de la solución tecnológica que corresponda y verificar que
estén completos y que son viables.
2. Identificar los requerimientos críticos de la solución tecnológica, es decir, de
aquéllosque tengan una incidencia representativa en costos, tiempo, funcionalidad,
riesgo orendimiento.
3. Identificar los indicadores de rendimiento que serán monitoreados durante el desarrollo
de la solución tecnológica de TIC.
4. Analizar los requerimientos de operación de la solución tecnológica, con la finalidad de
identificar, en su caso, nuevos requerimientos, a cuyo efecto tomará en cuenta
losiguiente:
a) Escenarios.
b) Necesidades.
c) Restricciones.
d) Interfaces.
5. Identificar los riesgos de los requerimientos de la solución tecnológica e incorporarlosen
el Documento de planeación de riesgos que formará parte del Documento deplaneación
del proyecto.
6. Definir e integrar en el documento de Especificación de requerimientos de
solucionestecnológicas, los controles de seguridad que, de acuerdo a las
necesidadesidentificadas en la actividad DST-1 de este proceso, se requieran para la
protección y trazabilidad de las transacciones y datos, considerando la sensibilidad y
criticidad de éstos y el carácter reservado o confidencial que se prevé tendrá la
información que se genere con la operación de la solución tecnológica.
7. Enviar, cuando así corresponda, los requerimientos de la solución tecnológica a
losRepresentantes de las unidades administrativas solicitantes, para su revisión
yaprobación.
El Líder técnico de desarrollo, con apoyo del Administrador de proyecto, deberá:
8. Asegurarse que la información generada en esta actividad se incorpore en elDocumento
de registro de validación de requerimientos, en el Documento deplaneación del proyecto
y en el Repositorio central de requerimientos, para laactualización de éste.
9. Revisar el Sistema de Inventario de Aplicaciones de la APF, para identificar si en
lasdemás Instituciones existe alguna solución tecnológica similar a la requerida,
quepodría satisfacer las necesidades de la Unidad administrativa solicitante y
sercompatible con la infraestructura de TIC de la Institución.
10. Comunicar al Titular de la UTIC el resultado de la revisión efectuada conforme al factor
crítico anterior, con la finalidad de que:
a) Se realicen las gestiones necesarias para la obtención de la solución tecnológica
identificada y, en su caso, adaptarla a las necesidades de la Institución, conforme a lo
previsto en este proceso.
b) Se continúe con el factor crítico 11.
11. Verificar si en el mercado existe alguna solución tecnológica similar a la requerida, que
pueda satisfacer las necesidades de la Unidad administrativa solicitante, sercompatible
con la infraestructura de TIC de la Institución y que su costo de adquisición e
implantación resulte menor al estimado para el desarrollo de la solución tecnológica
requerida.
12. Comunicar al Titular de la UTIC el resultado de la verificación efectuada conforme
alfactor crítico anterior, para que en el supuesto de haber identificado alguna
solucióntecnológica adecuada se realicen las gestiones para su contratación, a través
delproceso ATC- Apoyo técnico para la contratación de soluciones tecnológicas de TIC.
DST-5 Administrar los elementos de configuración de las soluciones tecnológicas
Descripción Administrar los componentes y productos, existentes y por desarrollar, de las
solucionestecnológicas, durante el ciclo de vida del proyecto de desarrollo de la solución
tecnológicacorrespondiente.
Factorescríticos El Responsable del repositorio de la configuración, con apoyo del Líder técnico
de desarrollo, deberá:
1. Identificar los componentes y productos, existentes y por desarrollar, de la
solucióntecnológica que estarán bajo configuración.
2. Establecer líneas base de los componentes y productos identificados.
3. Establecer un ambiente de la configuración para la administración de losrequerimientos
de la solución tecnológica, sus cambios y rastreabilidad.
4. Establecer el estado que podrá tener cada componente o producto de la
solucióntecnológica, para su administración como elementos de configuración.
5. Actualizar la configuración de los componentes y productos, cada que se apruebe una
solicitud de cambio.
Administrador de proyecto, deberá:
6. Mantener en el Repositorio de configuraciones, la información de los componentes
yproductos, existentes y por desarrollar, de la solución tecnológica, así como la relativa
a los cambios autorizados a los requerimientos, incluidas sus líneas base.
DST-6 Mantener la trazabilidad de los requerimientos de soluciones tecnológicas

Descripción Mantener un registro de trazabilidad de los requerimientos de las soluciones
tecnológicas,así como de sus componentes y productos, durante el ciclo de vida del
proyecto dedesarrollo de la solución tecnológica correspondiente.
1. Verificar que la Matriz de trazabilidad sea creada a partir de esta actividad y
semantenga actualizada durante todo el ciclo de vida del desarrollo de
solucióntecnológica de TIC.
2. Establecer revisiones a la Matriz de trazabilidad en el Documento de planeación
delproyecto a fin de asegurar su consistencia y nivel de actualización.
delLíder técnico de desarrollo, deberá:
3. Elaborar y mantener actualizada la Matriz de trazabilidad, la cual deberá contener
larelación existente de las necesidades y requerimientos con los componentes
yproductos de la solución tecnológica.
4. Elaborar el análisis de impacto de los cambios solicitados a los requerimientos
de lasolución tecnológica, mediante la utilización de la Matriz de trazabilidad, con
la finalidad de identificar interdependencias y posibles inconsistencias que
podrían afectar el desarrollo en curso de la solución tecnológica, y comunicar su
resultado al Líder técnico de desarrollo.
El Líder técnico de desarrollo deberá:
5. Evaluar el impacto de los cambios solicitados a los requerimientos de la
solucióntecnológica que resulten del análisis realizado conforme al factor crítico anterior
ycomunicar su resultado al Administrador de proyecto y demás involucrados, con
elpropósito de obtener, de ser el caso, su retroalimentación.
6. Autorizar o rechazar, las solicitudes de cambio a los requerimientos de la
solucióntecnológica, considerando la retroalimentación que, en su caso, hubiere
recibido.
El Administrador de proyecto deberá:
7. Actualizar, cada que se autorice una solicitud de cambio a los requerimientos de
lasolución tecnológica, el Documento de planeación del proyecto, así como
losDocumentos de planeación subsidiarios.
8. Asegurarse que la información generada en esta actividad se incorpore en elDocumento
de registro de validación de requerimientos y en el Repositorio central derequerimientos,
para la actualización de éste.
DST-7 Determinar y seleccionar alternativas para las soluciones tecnológicas

Descripción Identificar y, en su caso, elaborar alternativas para las soluciones tecnológicas, así
comodefinir los criterios técnicos para seleccionar aquélla que satisfaga los
requerimientospreviamente definidos o incluso que requiera efectuar cambios a éstos,
siempre que semantenga un adecuado equilibrio en términos de costo, tiempo y
rendimiento.
Factorescríticos El Arquitecto de soluciones tecnológicas, con apoyo del Diseñador de
soluciones tecnológicas de TIC y del Líder técnico de desarrollo y del
Administrador de proyecto, deberá:
1. Definir los criterios técnicos para evaluar y seleccionar entre las diversas alternativasque
sean planteadas, aquélla que resulte ser la mejor opción para la solucióntecnológica de
que se trate.
2. Identificar tecnología de TIC en uso y componentes o productos innovadores en
elmercado con ventajas competitivas.
3. Identificar componentes o productos existentes en la Institución, que pudieransatisfacer
los requerimientos de la solución tecnológica.
4. Elaborar y proponer alternativas para la solución tecnológica, considerando
losrequerimientos previamente definidos. Cada alternativa propuesta deberá incluir
sucorrespondiente Arquitectura tecnológica de la solución.
5. Analizar los cambios que, en su caso, sería necesario efectuar a los requerimientosde la
solución tecnológica, por virtud de las características particulares de cadaalternativa
propuesta, así como incluir el resultado de dicho análisis en la propuesta de alternativa
que corresponda.
6. Evaluar las diversas alternativas propuestas y seleccionar aquélla que satisfaga
losrequerimientos previamente definidos o incluso que requiera efectuar cambios a
losmismos, siempre que se mantenga un adecuado equilibrio en términos de
costo, tiempo y rendimiento.
7. Obtener del Administrador del portafolio de proyectos de TIC y, en su caso, de laUnidad
administrativa solicitante, su aprobación respecto de la alternativaseleccionada.
8. Documentar en el Reporte de evaluación de alternativas de solución, los resultados de
esta actividad.
DST-8 Generar el diseño detallado de las soluciones tecnológicas

Descripción Elaborar el diseño detallado de las soluciones tecnológicas.
Factorescríticos El Diseñador de soluciones tecnológicas de TIC, con apoyo del
Arquitecto desoluciones tecnológicas y del Líder técnico de desarrollo, deberá:
1. Adoptar el método para el diseño detallado de la solución tecnológica que, de acuerdo
con la alternativa seleccionada, resulte ser el más adecuado.
2. Determinar las capas de diseño, considerando:
a) La arquitectura tecnológica de la solución.
b) El diseño funcional.
c) El diseño de interfaces.
d) Los flujos de información.
e) Las estructuras de datos.
f) Las estructuras y relaciones de componentes.
3. Desarrollar el diseño detallado de la solución tecnológica, de acuerdo con losestándares
y criterios técnicos que para este proceso se definen conforme alproceso OSGP-
Operación del sistema de gestión y mejora de los procesos de la UTIC.
4. Identificar las interfaces asociadas con otros componentes, soluciones tecnológicas o
servicios de TIC de la Institución o, incluso de otras instituciones u organizaciones.
5. Elaborar el Documento de diseño, en el que se contenga el diseño detallado de
lasolución tecnológica.
DST-9 Determinar el desarrollo, reutilización o contratación de componentes y productos
Descripción Analizar y evaluar los diversos componentes o productos de la solución tecnológica
paradeterminar cuáles de ellos será necesario desarrollar, cuáles se podrán reutilizar o
bien, de ser necesario cuáles se requerirá contratar.
Factorescríticos El Diseñador de soluciones tecnológicas de TIC, con apoyo del
Arquitecto desoluciones tecnológicas y del Líder técnico de desarrollo, deberá:
1. Definir criterios técnicos de evaluación para la reutilización o contratación
decomponentes o productos, considerando su mantenimiento.
2. Verificar la existencia en la Institución o en otras, de componentes o productossimilares
en operación y, en su caso, evaluar su aplicabilidad.
3. Evaluar la viabilidad de reutilizar componentes o productos de soluciones tecnológicas
similares.
4. Evaluar componentes o productos similares existentes en el mercado.
5. Elaborar el Reporte de evaluación de componentes y productos, en el que se señalen
los componentes o productos que, con base en los resultados de los factores críticos
anteriores, será necesario reutilizar, contratar o bien, desarrollar.
DST-10 Desarrollar las soluciones tecnológicas

Descripción Llevar a cabo, con base en el Documento de diseño y el Reporte de evaluación
decomponentes y productos, el desarrollo de soluciones tecnológicas.
Factorescríticos El Líder técnico de desarrollo y los Desarrolladores de la solución tecnológica,
con apoyo del Administrador de proyecto, deberán:
1. Desarrollar, conforme al Documento de planeación del proyecto, los componentes
yproductos de la solución tecnológica e integrarlos en el Repositorio de componentes y
productos.
2. Ejecutar pruebas unitarias a los componentes o productos; elaborar la evidencia sobre
su ejecución, así como integrar en el Documento de registro de pruebas unitarias, los
resultados y la evidencia correspondientes.
3. Realizar, conforme al Documento de planeación del proyecto, revisiones a
loscomponentes o productos y documentarlas en el Reporte de revisiones.
4. Actualizar, con la información de los factores críticos anteriores, el Repositorio
deconfiguraciones, el Repositorio central de proyectos y, en caso de establecerse,
elRepositorio de componentes y productos.
DST-11 Generar y actualizar la documentación de las soluciones tecnológicas

Descripción Elaborar y mantener actualizar la documentación de las soluciones
tecnológicasdesarrolladas.
Factorescríticos El Líder técnico de desarrollo y los Desarrolladores de la solución
tecnológica,deberán:
1. Elaborar la documentación relativa a la instalación, operación y mantenimiento técnicos
de la solución tecnológica e integrarla en el Manual técnico de la solución tecnológica.
2. Elaborar la documentación necesaria para que los Usuarios de la Unidad administrativa
solicitante o bien, otros Usuarios involucrados, puedan operar la solución tecnológica
desarrollada. Integrar la documentación elaborada en el Instructivo de operación para la
solución tecnológica.
3. Obtener la aprobación de los Responsables de los procesos de los grupos OS y OP y
cuando corresponda, de la Unidad administrativa solicitante, respecto del Manualtécnico
de la solución tecnológica y del Instructivo de operación para la solucióntecnológica.
DST-12 Determinar los componentes o productos para integrar la solución tecnológica
Descripción Definir los componentes o productos que serán integrados en la solución tecnológica,
asícomo la secuencia para realizar la integración.
Factorescríticos El Integrador de la solución tecnológica, con apoyo del Líder técnico de
desarrollo y de los Desarrolladores de la solución tecnológica, deberá:
1. Identificar los productos o componentes que serán integrados en la solucióntecnológica.
2. Definir los tipos de verificación que serán ejecutadas durante la integración.
3. Identificar alternativas de integración y de secuencia, así como efectuar pruebassobre
éstas.
4. Analizar las diversas alternativas y seleccionar aquélla que técnicamente resulte lamás
conveniente para la integración de la solución tecnológica, y realizar lajustificación
correspondiente.
5. Documentar en el Reporte de integración, la alternativa seleccionada y su
respectivajustificación.
6. Actualizar, con la información de los factores críticos anteriores, el Repositorio
deconfiguraciones, el Repositorio central de proyectos y, en caso de establecerse,
elRepositorio de componentes y productos.
DST-13 Administrar las interfaces de la solución tecnológica

Descripción Revisar la consistencia de las especificaciones de las interfaces, administrar sus
cambiosy actualizarlas durante el ciclo de vida de la solución tecnológica.
Factorescríticos El Líder técnico de desarrollo, con apoyo de los Responsables de los procesos
de los grupos OS y OP, deberá:
1. Revisar, al menos semestralmente, las especificaciones de las interfaces de lasolución
tecnológica, así como registrar y mantener los cambios en forma centralizada. Para lo
cual tomará en cuenta que:
a) Para cada revisión se elaborará el documento de Registro de revisiones ainterfaces, en
el que se incluyan los hallazgos y necesidades de actualizaciónidentificados.
b) Los hallazgos y necesidades de actualización identificados en una revisión, seintegrarán
en un documento de Registro de cambios a interfaces, el cual seenviará al Responsable
de cambios previsto en el proceso ACMB- Administración de cambios, para que se
realice la actualización de las interfaces.
2. Comunicar a los involucrados en la solución tecnológica y sus interfaces, losresultados
del factor crítico anterior.
3. Asegurarse de que se mantenga la compatibilidad de las interfaces, durante el ciclo de
vida de la solución tecnológica.
4. Actualizar con la información obtenida de esta actividad, el Documento deespecificación
de requerimientos de soluciones tecnológicas, el Documento de diseño, así como el
Repositorio de configuraciones, el Repositorio central de proyectos y, en caso de
establecerse, el Repositorio de componentes y productos.
DST-14 Ensamblar los componentes y productos de la solución tecnológica

Descripción Llevar a cabo el ensamblado de los componentes y productos de la solución
tecnológica,conforme a la secuencia de integración establecida.
Factorescríticos El Integrador de la solución tecnológica, con apoyo del Líder técnico de
desarrollo, deberá:
1. Realizar las acciones que permitan obtener el ambiente de integración necesario para
efectuar el ensamble de los componentes y productos de la solución tecnológica de que
se trate.
2. Dar seguimiento al estado de cada componente y producto que será integrado a
lasolución tecnológica, hasta que se encuentren disponibles para ser ensamblados.
3. Recibir los componentes y productos y verificar de acuerdo con el Reporte deintegración
elaborado en la actividad DST-12, que los mismos se hayan liberadoconforme a la
secuencia prevista al ambiente de integración.
4. Confirmar la recepción de cada componente y producto.
5. Comprobar que los componentes y productos cumplan con la configuración definida.
6. Realizar la integración de los componentes y productos conforme al Reporte
deIntegración.
7. Documentar el resultado de la integración de la solución tecnológica.
8. Almacenar la Solución tecnológica integrada y la documentación relacionada con
suintegración, en el Repositorio de configuraciones, en el Repositorio central
deproyectos y, en caso de establecerse, en el Repositorio de componentes y productos.
DST-15 Realizar la entrega de la solución tecnológica

Descripción Integrar y entregar el Paquete de entregables de la solución tecnológica.
Factorescríticos El Líder técnico de desarrollo, con apoyo del Integrador de la solución
tecnológica, deberá:
1. Efectuar una revisión de los requerimientos, diseño, productos, resultados de
lasvalidaciones y verificaciones realizadas, así como de la documentación generada
encada actividad del desarrollo de la solución tecnológica.
2. Identificar y resolver los aspectos técnicos que pudieran afectar la integración yentrega
del Paquete de entregables de la solución tecnológica.
3. Integrar el Paquete de entregables de la solución tecnológica.
El Líder técnico de desarrollo, con apoyo del Administrador de proyecto, deberá:
4. Realizar la entrega del Paquete de entregables de la solución tecnológica
alResponsable del proceso LE- Liberación y entrega, quien deberá confirmar
surecepción.
5. Comunicar de la entrega efectuada a los Responsables de los procesos ACMB-
Administración de Cambios, THO- Transición y habilitación de la operación, y ACNF-
Administración de la configuración del grupo TE.
1.1 "Documento de visión de la solución tecnológica de TIC", formato sugerido: anexo

15,formato 1.
1.2 "Documento de especificación de requerimientos de soluciones tecnológicas",

1.3 "Diagrama conceptual de la solución tecnológica", formato sugerido: anexo 15, formato 3.
1.4 "Documento de registro de validación de requerimientos", formato sugerido: anexo
15,formato 4.
1.5 "Matriz de trazabilidad", formato sugerido: anexo 15, formato 5.

1.6 "Arquitectura tecnológica de la solución", formato sugerido: anexo 15, formato 6.
1.7 "Reporte de evaluación de alternativas de solución", formato sugerido: anexo
15, formato7.
1.8 "Documento de diseño", formato sugerido: anexo 15, formato 8.

1.9 "Reporte de evaluación de componentes y productos", formato sugerido: anexo
15,formato 9.
1.10 "Documento de registro de pruebas unitarias", formato sugerido: anexo 15, formato 10.
1.11 "Reporte de revisiones", formato sugerido: anexo 15, formato 11.
1.12 "Manual técnico de la solución tecnológica", formato sugerido: anexo 15, formato 12.
1.13 "Instructivo de operación para la solución tecnológica", formato sugerido: anexo
15,formato 13.
1.14 "Reporte de integración", formato sugerido: anexo 15, formato 14.

1.15 "Registro de cambios a interfaces", formato sugerido: anexo 15, formato 15.
1.16 "Registro de revisiones a interfaces", formato sugerido: anexo 15, formato 16.
1.17 "Solución tecnológica integrada", conforme lo defina la Institución.
1.18 "Repositorio central de proyectos", definido por la Institución.
1.19 "Repositorio central de requerimientos", definido por la Institución.
1.20 "Repositorio de configuraciones", definido por la Institución.
1.21 "Repositorio de componentes y productos", definido por la Institución.
1.22 "Paquete de entregables de la solución tecnológica", conforme lo defina la Institución.
1.1 Administrador de proyecto.

1.2 Analista de requerimientos de soluciones tecnológicas de TIC.
1.3 Líder técnico de desarrollo.
1.4 Arquitecto de soluciones tecnológicas.
1.5 Diseñador de soluciones tecnológicas de TIC.
1.6 Responsable del repositorio de configuraciones.
1.7 Desarrolladores de la solución tecnológica.
1.8 Integrador de la solución tecnológica.
1.9 Representante de la unidad administrativa solicitante.

Frecuencia de
cálculo
Eficiencia en el Conocer la Medir el número Dimensión: % de eficiencia= El responsable del Semestral.

proceso DST- eficiencia del de desarrollos Eficiencia. (Número de proceso DST-
Desarrollo de proceso DST- concluidos o con Tipo: desarrollos Desarrollo de
soluciones Desarrollo de avance conforme concluidos o con soluciones
tecnológicas de soluciones a lo planeado con De gestión. avance en los tecnológicas de
TIC. tecnológicas de respecto del total tiempos y forma TIC.
TIC. de desarrollos previstos / Total
concluidos o en de desarrollos
ejecución. concluidos o en
ejecución) X 100

1.1 En la ejecución de este proceso, el Responsable del mismo se deberá asegurar de
que se observe lo establecido en el grupo de procesos PR- Administración de Proyectos.
1.2 El Responsable de este proceso, deberá evaluar las herramientas de software
queconforme a este proceso se tenga previsto utilizar durante el ciclo de vida de
lassoluciones tecnológicas en desarrollo.
1.3 El Responsable de este proceso se deberá asegurar que cualquier solución
tecnológica de TIC que se pretenda desarrollar o se encuentre en desarrollo o en
mantenimiento, se sujete a este proceso.
1.4 El Responsable de este proceso, en coordinación con el Responsable del proceso APP-
Administrador del portafolio de servicios de TIC, registrará en el Sistema de Inventario
deAplicaciones de la APF, las soluciones tecnológicas existentes en la Institución, así
comode cualquiera de sus componentes o productos, cuando éstos, en lo individual y por
suscaracterísticas técnicas pudieran ser reutilizables. Este sistema se deberá actualizar
en laforma y términos que señale la UGD.
1.5 El Responsable de este proceso deberá dar seguimiento a las gestiones que realice
laInstitución, con la finalidad de que los derechos inherentes a la propiedad intelectual
que le correspondan a la misma, respecto de las soluciones tecnológicas
desarrolladas, seregistren ante el Instituto Nacional del Derecho de Autor y/o cuando
corresponda, ante elInstituto Mexicano de la Propiedad Industrial, en términos de las
disposiciones jurídicasaplicables.
1.6 El Responsable de este proceso deberá realizar las acciones que permitan que
losambientes de desarrollo, de pruebas y de producción operen de manera separada a
nivellógico.
1.7 El Responsable de este proceso se asegurará de que se proporcione el apoyo
técnico que requieran los usuarios autorizados en la Institución, para el desarrollo de
aplicaciones y el despliegue de información en los sitios institucionales de Internet e
Intranet.
1.8 El Responsable de este proceso se asegurará que en el desarrollo de aplicaciones
deservicios que se proporcionen, a través de los sitios institucionales de Internet e
Intranet,se tomen en cuenta los criterios técnicos que corresponden a este proceso,
contenidos en el Repositorio activos de procesos.
1.9 La responsabilidad sobre los contenidos que se publiquen en los sitios institucionales
deInternet e Intranet es exclusivamente del área (s) o unidad (es) administrativa
(s)autorizadas para efectuar la publicación. El Responsable de este proceso comunicará
loanterior al otorgar los privilegios de publicación correspondientes.
1.10 El Responsable de este proceso se asegurará de que se lleven a cabo las actividades
demantenimiento requeridas para el adecuado funcionamiento de los sitios
institucionales de Internet e Intranet.
5.7.3 CST - Calidad de las soluciones tecnológicas de TIC
General:
Verificar y validar, mediante revisiones de calidad, que los componentes y productos de las
solucionestecnológicas adquiridas o en desarrollo, cumplan con los requerimientos definidos.
Específicos:
1. Establecer criterios técnicos de verificación y validación para las revisiones de calidad que se efectúen a
componentes y productos de las soluciones tecnológicas.
2. Incluir en el Documento de planeación de calidad, que deberá formar parte del correspondienteDocumento
de planeación del proyecto, la forma definida para llevar a cabo las revisiones de calidad a componentes y
productos de las soluciones tecnológicas, así como su calendarización.
3. Establecer escenarios previos que permitan que las soluciones tecnológicas adquiridas o en desarrollo se
implanten en el ambiente operativo definido.
CST-1 Seleccionar los componentes y productos, así como el ambiente para

suverificación
Descripción Seleccionar los componentes y productos de las soluciones tecnológicas adquiridas o

endesarrollo que se verificarán, así como definir los criterios técnicos de verificación.
Factorescríticos El Responsable de aseguramiento de calidad deberá:
1. Establecer los criterios técnicos de verificación a componentes y productos
desoluciones tecnológicas, referentes a revisión, inspección y prueba interna, así
comoregistrar dichos criterios como activos de este proceso.
2. Identificar los componentes y productos de las soluciones tecnológicas adquiridas oen
desarrollo que serán verificados.
3. Identificar los requerimientos del ambiente en el que se efectuará la verificación
yestablecerlo.
4. Identificar los recursos disponibles del ambiente de verificación, para su
posiblereutilización.
5. Integrar los datos de los factores críticos anteriores en el Documento de ambiente
deverificación.
6. Identificar las herramientas para la verificación.
7. Elaborar el Documento de planeación de calidad, con la información obtenida de
losfactores críticos anteriores, así como integrarlo al Documento de planeación
delproyecto.
CST-2 Realizar verificaciones

Descripción Realizar la verificación de los componentes y productos seleccionados y analizar
susresultados.
1. Establecer un Grupo de trabajo de aseguramiento de calidad, que tendrá
laresponsabilidad de realizar la verificación de las soluciones tecnológicas.
El Responsable de aseguramiento de calidad, con apoyo del Grupo de trabajo
deaseguramiento de calidad, deberá:
2. Identificar y relacionar los componentes y productos intermedios seleccionados parasu
verificación, así como los requerimientos que dichos componentes y productosdeben
cumplir.
3. Preparar el ambiente, elaborar las Listas de verificación y efectuar las verificacionesde
acuerdo al Documento de planeación de calidad.
4. Registrar y analizar los resultados de las actividades de verificación (revisión,inspección
y prueba interna).
5. Definir las acciones a implementar como resultado de la verificación a los componentes
o productos intermedios, y darles seguimiento hasta el cierre de los hallazgos
identificados.
6. Documentar la verificación realizada en el Reporte de revisión, destacando losdefectos
y hallazgos encontrados, así como los componentes o productos afectados.
7. Asegurarse de que se actualice el Repositorio de ambientes de revisión, con
lainformación del factor crítico anterior.
CST-3 Coordinar la realización de revisiones entre desarrolladores

Descripción Coordinar la realización de revisiones sobre los componentes y productos
seleccionados,por parte de los diversos involucrados en el desarrollo de la solución
tecnológica querealicen actividades similares, para la identificación de defectos en una
etapa temprana.
Factorescríticos El Responsable de aseguramiento de calidad, con apoyo del Auditor de calidad
ydel Líder técnico de desarrollo, deberá:
1. Determinar el tipo de revisión técnica que los Desarrolladores de la solucióntecnológica
efectuarán a los componentes y productos seleccionados.
2. Establecer y actualizar los criterios técnicos que aplicarán para las entradas y salidasde
las revisiones que se efectúen.
3. Establecer y actualizar las Listas de verificación, para asegurar la consistencia de
larevisión a los componentes y productos seleccionados.
4. Programar las revisiones de acuerdo con el Documento de planeación del proyecto ysu
Documento de planeación de calidad, y realizar las acciones que procedan paraque los
datos de las revisiones no sean usados de manera inapropiada.
5. Distribuir, entre los Desarrolladores de la solución tecnológica, los componentes
yproductos sujetos a revisión, así como la información relacionada.
6. Asignar roles entre Desarrolladores de la solución tecnológica, para la revisión de
loscomponentes y productos seleccionados.
Los Desarrolladores de la solución tecnológica, con apoyo del Auditor de calidad
y del Líder técnico de desarrollo, deberá:
7. Efectuar las revisiones; identificar los defectos y hallazgos encontrados en
loscomponentes y productos afectados, y documentar las revisiones realizadas en
elReporte de revisión correspondiente.
El Responsable de aseguramiento de calidad deberá:
8. Asegurarse de que en las revisiones efectuadas por los Desarrolladores de lasolución
tecnológica se haya cumplido con lo previsto en las Listas de Verificación, de acuerdo
con el Documento de planeación de calidad.
9. Almacenar la información obtenida de los factores críticos anteriores, para
futurasreferencias y análisis, en el Repositorio de ambientes de revisión.
CST-4 Analizar resultados de la verificación

Descripción Analizar los resultados de las actividades de verificación.
Factorescríticos El Auditor de calidad, con apoyo del Líder técnico de desarrollo, deberá:
1. Definir la forma y términos para la aceptabilidad de los componentes y
productosverificados.
2. Identificar, con base en el factor crítico anterior, los componentes y productos que
nohan cumplido con sus requerimientos o cuyos defectos, hallazgos
y "noconformidades" persisten.
3. Analizar los resultados de la verificación, para constatar la validez de los datosutilizados
en los casos en que se detectaron defectos, hallazgos y "noconformidades".
4. Registrar los resultados del análisis efectuado en el Reporte de revisión.
5. Utilizar los resultados de la verificación para comparar las mediciones obtenidas conlas
previstas.
6. Documentar las propuestas para resolver los defectos, hallazgos y "noconformidades",
señalando los tiempos de resolución y los responsables.
7. Asegurarse de que se actualice el Repositorio de reportes de revisión, con lainformación
de los factores críticos anteriores.
CST-5 Seleccionar componentes y productos para validación

Descripción Seleccionar los componentes y productos que serán objeto de validación y el método
devalidación que será utilizado en cada caso.
Factorescríticos El Ingeniero de pruebas, con apoyo del Auditor de calidad y del Líder técnico
dedesarrollo, deberá:
1. Determinar las necesidades de los usuarios (operacional, mantenimiento, capacitación o
soporte) que serán validadas.
2. Seleccionar los componentes y productos de la solución tecnológica a ser validados.
3. Seleccionar el método para la validación de los componentes y productos, así como la
forma para la realización de las pruebas que a continuación se indican y su respectiva
evaluación:
a) De caja blanca y caja negra.
b) Funcionales.
c) De rendimiento.
d) De seguridad.
e) Otras que se requieran para validar la funcionalidad y operación en los ambientes
productivos finales.
4. Revisar la selección de componentes y productos, el método de validación y la
formapara la realización y evaluación de pruebas, con los involucrados interesados
asícomo con la Unidad administrativa solicitante.
5. Integrar la información que se genere de los factores críticos anteriores, en
elDocumento de planeación de calidad.
6. Revisar el Documento de planeación del proyecto correspondiente, para asegurarseque
las actividades que se programen sean consistentes con las actividades delproceso
ATC- Apoyo técnico para la contratación de soluciones tecnológicas de TIC o bien, del
proceso DST- Desarrollo de soluciones tecnológicas de TIC, segúncorresponda.
CST-6 Establecer el ambiente para la validación

Descripción Establecer y mantener los requerimientos de ambiente para efectuar la validación.
Factorescríticos El Ingeniero de pruebas, con apoyo del Responsable de calidad y del Líder
técnico de desarrollo, deberá:
1. Identificar los requerimientos para el ambiente de validación.
2. Identificar los componentes y productos suministrados.
3. Identificar los recursos disponibles de validación, para su posible reutilización
eintegración de la solución tecnológica.
4. Identificar las arquitecturas tecnológicas involucradas, las herramientas para
larealización de las pruebas previstas y a los participantes en la validación.
5. Identificar herramientas para la administración de las pruebas.
6. Definir un ambiente colaborativo para las herramientas de validación, así como
losniveles de acceso necesarios para mantener la integridad, monitoreo y control de
losresultados de las validaciones.
7. Verificar la disponibilidad de los participantes en la validación, a fin de planear
suejecución.
8. Integrar la información generada en los factores críticos anteriores, en el Documentode
ambiente de validación y actualizar el Documento de planeación de calidad.
CST-7 Ejecutar la validación

Descripción Efectuar la validación a los componentes y productos seleccionados.
Factorescríticos El Ingeniero de pruebas, con apoyo del Responsable de calidad y del Grupo
detrabajo de aseguramiento de calidad, deberá:
1. Revisar los requerimientos del componente o producto a ser validado, para asegurarse
de que serán identificados los posibles defectos, hallazgos y "no conformidades".
2. Elaborar el Documento de escenarios de prueba, que contenga los diversosescenarios
de prueba, con base en los datos del ambiente y los criterios técnicos que aplicarán
para las entradas y salidas de validación.
3. Integrar en el Documento de escenarios de prueba, la información obtenida de
lavalidación que se efectúe, identificando los defectos, hallazgos y "no
conformidades"detectados, de acuerdo con el método y criterios técnicos establecidos.
4. Validar en el ambiente, el componente o producto, a medida que se avanza en
sudesarrollo.
5. Comparar los resultados obtenidos de la validación efectuada con los
resultadosesperados.
6. Identificar, con base en los criterios técnicos de validación establecidos,
loscomponentes y productos que no cumplen con los requisitos para sus
respectivosambientes operativos o bien, las inconsistencias que pudieran existir en el
método,criterios técnicos y ambientes utilizados en la validación.
7. Analizar los datos de validación de los defectos, hallazgos y "no
conformidades" yregistrar sus resultados en el Reporte de revisión correspondiente.
8. Utilizar los resultados de la validación para comparar las mediciones obtenidas, con el
uso previsto o las necesidades establecidas.
9. Identificar las acciones a realizar para el cierre de los defectos, hallazgos
y "noconformidades" de algún componente o producto, cuyos resultados de validación
nofueron satisfactorios.
CST-8 Evaluar las soluciones tecnológicas

Descripción Evaluar que las soluciones tecnológicas cuenten con la calidad requerida para
satisfacerlos servicios previstos.
Factorescríticos El Revisor de calidad, con apoyo del Líder técnico de desarrollo, deberá:
1. Seleccionar los componentes y productos de la solución tecnológica que
seránevaluados.
2. Definir los criterios técnicos para la evaluación de los componentes y productos de
lasolución tecnológica y de los servicios y procesos involucrados en su operación.
3. Elaborar, conforme a los criterios técnicos definidos, las Listas de verificación yrealizar
la evaluación de la solución tecnológica, atendiendo los hitos de controlseñalados en el
Documento de planeación de calidad y en el Documento de planeación del proyecto.
4. Identificar defectos, hallazgos y "no conformidades" y, en su caso, actualizar lasListas
de verificación y el Reporte de revisión.
5. Elaborar, con la información obtenida de los factores críticos anteriores, el Documento
de lecciones aprendidas, así como actualizar el Documento de planeación de calidad.
CST-9 Asegurar la resolución de defectos, hallazgos y "no conformidades"

Descripción Asegurar, con la intervención de los responsables y demás participantes en el
proyecto de la solución tecnológica, la resolución de los defectos, hallazgos y "no
conformidades"detectados.
Factorescríticos El Responsable de calidad, con apoyo del Auditor de calidad y del Ingeniero
depruebas, deberá:
1. Resolver cada defecto, hallazgo o "no conformidad" con los responsables y
demásparticipantes en el proyecto de la solución tecnológica de que se trate.
2. Documentar los defectos, hallazgos y "no conformidades" que no fue posible
resolverdurante la ejecución del proyecto.
3. Analizar los defectos, hallazgos y "no conformidades" para constatar si
existentendencias de calidad que puedan apoyar su resolución e informar a
los responsables y demás participantes en el proyecto de la solución tecnológica de
que se trate, del resultado de dicho análisis.
4. Solicitar a los responsables y demás participantes en el proyecto de la
solucióntecnológica de que se trate, la presentación de alternativas que permitan
resolver losdefectos, hallazgos o "no conformidades" pendientes de resolución.
5. Actualizar, con la información obtenida de los factores críticos anteriores, el Reportede
revisión correspondiente, el Documento de planeación de calidad y el Documentode
planeación del proyecto.
El Responsable de calidad deberá:
6. Dar seguimiento, durante la ejecución del grupo de procesos TE, a los
defectos,hallazgos y "no conformidades" hasta su cierre.
7. Realizar revisiones, al menos una vez al año, sobre los defectos, hallazgos
y "noconformidades" detectados en las diversas soluciones tecnológicas, con motivo de
laejecución de las actividades de este proceso, con la finalidad de apoyar la
mejoracontinua de dicho proceso.

1.1 "Documento de ambiente de verificación", formato sugerido: anexo 16, formato 1.
1.2 "Documento de planeación de calidad", formato sugerido: anexo 16, formato 2.
1.3 "Listas de verificación", formato sugerido: anexo 16, formato 3.
1.4 "Reporte de revisión", formato sugerido: anexo 16, formato 4.
1.5 "Documento de ambiente de validación", formato sugerido: anexo 16, formato 5.
1.6 "Documento de escenarios de prueba", formato sugerido: anexo 16, formato 6.
1.7 "Documento de lecciones aprendidas", formato sugerido: anexo 16, formato 7.
1.8 "Repositorio de ambientes de revisión", definido por la Institución.
1.9 "Repositorio de reportes de revisión", definido por la Institución.

1.1 Responsable de calidad.
1.2 Revisor de calidad.
1.3 Ingeniero de pruebas.
1.4 Auditor de calidad.
1.5 Grupo de trabajo de aseguramiento de calidad.
1.6 Responsable de aseguramiento de calidad.
1.7 Desarrolladores de la solución tecnológica.

Frecuencia de
cálculo
Cumplimiento de Medir la Obtener el Dimensión: % de eficiencia= El Responsable del Semestral.

revisiones de eficiencia del porcentaje de Eficiencia. (Número de total de proceso CST-
calidad. proceso, con revisiones Tipo: revisiones de calidad Calidad de las
base en el efectuadas a las efectuadas a las soluciones
número de soluciones De gestión. soluciones tecnológicas de
revisiones de tecnológicas. tecnológicas en el TIC.
calidad periodo / Número de
efectuadas. revisiones de calidad
planeadas en el
periodo) X 100

1.1 El Responsable de este proceso se deberá asegurar que, en la realización de pruebas
alas soluciones tecnológicas en las que se pretendan utilizar datos operacionales,
secuente previamente con autorización de la Unidad administrativa solicitante, y de que
seconserve evidencia de la misma.
1.2 El Administrador de proyecto asignado para cada solución tecnológica se
deberá asegurar de que a la conclusión del proyecto respectivo, se elabore
oportunamente el Documento de lecciones aprendidas y que dichas lecciones se incluyan
en el Repositorio de conocimiento previsto en el proceso ACNC- Administración del
conocimiento, a efecto de que estén disponibles para los integrantes de la UTIC.
5.8 TE - TRANSICION Y ENTREGA
5.8.1 ACMB - Administración de cambios
General:
Lograr la integración eficiente, segura y oportuna de los cambios que modifican el ambiente operativo de
laUTIC, mediante la definición y el establecimiento de criterios técnicos y mecanismos para la
administraciónde Solicitudes de cambio.
Específicos:
1. Contar con un mecanismo de atención de cambios que permitan que éstos sean
resueltossatisfactoriamente, sin exponer el ambiente operativo y los servicios de TIC que soporta.
2. Generar conocimiento, a partir de la información relacionada con los cambios efectuados al
ambienteoperativo de la UTIC.
ACMB-1 Definir un acceso único para la administración de Solicitudes de cambio

Descripción Definir un acceso único para el registro, evaluación, atención, ejecución, seguimiento
ycontrol de los cambios solicitados al ambiente operativo de la UTIC.
Factorescríticos El Responsable de cambios, con autorización del Titular de la UTIC, deberá:
1. Definir el acceso único para el registro, trámite, ejecución, seguimiento y control de los
cambios al ambiente operativo de la UTIC, que presenten los interesados a través de
una Solicitud de cambio.
2. Definir las características técnicas y la funcionalidad de la herramienta tecnológica que
permita llevar a cabo el registro, trámite, ejecución, seguimiento y control de loscambios
solicitados al ambiente operativo de la UTIC hasta su cierre, e incorporarlosen el
documento de Características técnicas y funcionalidad de la herramientatecnológica.
El Responsable de cambios deberá:
3. Definir, para la adecuada administración de las Solicitudes de cambios, la
interacciónentre el acceso único y los demás procesos de este Manual.
4. Integrar la información que derive de los factores críticos anteriores, en el documentode
Descripción del acceso único para la administración de solicitudes de cambio,
ydifundirlo entre los integrantes de la UTIC.
ACMB-2 Definir la forma para el registro, evaluación y atención del cambio

Descripción Establecer la forma en que se llevará a cabo el registro, evaluación y atención de
loscambios solicitados a uno o más elementos del ambiente operativo de la UTIC.
Factorescríticos El Responsable de cambios deberá:
1. Diseñar el documento de Solicitud de cambio, el cual deberá contemplar, al menos, los
campos que permitan la incorporación de la información siguiente:
a) Descripción del cambio solicitado sobre uno o más elementos del ambienteoperativo, así
como de la información que permita identificar si el cambio solicitado deriva de un
incidente, problema, Iniciativa de TIC o, inclusive iniciativa de mejora y, de ser este el
caso, incorporar la información correspondiente.
b) La prioridad que el Solicitante del cambio asigna al cambio solicitado: baja, normal y
alta.
c) El Responsable del cambio solicitado y, en su caso, de los responsables deservicios,
soluciones tecnológicas o procesos involucrados.
d) El Programa de trabajo del cambio, incluida la ventana de tiempo estimada paraefectuar
las actividades correspondientes, así como el Programa de retorno delcambio.
e) En su caso, los datos de la Unidad administrativa solicitante o de otros
Usuariosinvolucrados con el cambio.
f) Los controles sobre los riesgos que se podrían materializar con motivo de laimplantación
del cambio solicitado.
g) Las autorizaciones requeridas para la presentación de la Solicitud de cambio.
2. Establecer la forma para identificar cada Solicitud de cambio que se reciba, a fin
deevitar que se asigne una misma identificación a dos o más solicitudes, así
comofacilitar su seguimiento.
3. Clasificar, en función del cambio solicitado, las Solicitudes de cambio
recibidas,considerando cuando menos los siguientes tipos y categorías:
a) Tipos: de rutina, normal o de emergencia.
b) Categorías: por Incidente, Problema, mejora, nuevo componente de lainfraestructura de
TIC, nueva solución tecnológica o servicio de TIC.
4. Señalar la información y documentación requerida para atender el cambio solicitado, en
función de su tipo, categoría y la prioridad asignada por el Solicitante del cambio.
5. Definir en el Catálogo de estados de la solicitud del cambio, los estados del ciclo devida
de un cambio, así como los criterios técnicos para realizar la modificación de unestado a
otro.
6. Definir en el documento Instructivo para la atención de cambios, las formas en queserán
atendidos los cambios solicitados, en función de su tipo y categoría.
7. Elaborar, con la información y productos obtenidos como resultado de los
factorescríticos anteriores, el documento Mecanismos de atención de cambios e
integrarlo aldocumento de Descripción del acceso único para la administración de
solicitudes decambio.
8. Establecer, con la información a que se refiere el factor crítico anterior, el Repositoriode
solicitudes de cambio.
ACMB-3 Definir a los Responsables de evaluar y ejecutar los cambios

Descripción Definir a los Responsables de evaluar y ejecutar los cambios al ambiente operativo de
laUTIC.
Factorescríticos El Responsable de cambios, con apoyo del Grupo de trabajo estratégico de
TIC,deberá:
1. Establecer el Grupo de trabajo asesor de cambios, así como el Grupo de trabajoasesor
de cambios de emergencia, y designar a sus respectivos integrantes, mediante el
Documento de descripción de roles y responsabilidades de los Grupos de trabajo de
cambios al ambiente operativo de la UTIC, y asegurarse que éste contenga, al menos,
lo siguiente:
a) El alcance, objetivos y responsabilidades de cada grupo, así como los roles
yresponsabilidades de sus miembros, y el funcionamiento de los mismos.
b) El señalamiento de que el Responsable de cambios será quien presidirá ambosgrupos.
c) El compromiso de comunicar el establecimiento de los grupos a los integrantes de la
UTIC.
2. Identificar a los integrantes del Recurso humano en la UTIC que llevarán a cabo
laevaluación y ejecución de cambios.
3. Elaborar y mantener actualizada la Relación de los responsables de la evaluación
yejecución de cambios, y registrarla en la herramienta tecnológica prevista en
laactividad ACMB-1, en la cual se contendrá el nombre y cargo de cada responsable,así
como el tipo y categoría de los cambios que deberá evaluar y ejecutar.
ACMB-4 Registro y clasificación de la Solicitud de cambio

Descripción Efectuar el registro de la Solicitud del cambio; determinar el tipo, categoría y prioridad
delcambio, así como realizar la gestión para su evaluación.
Factorescríticos El Responsable de cambios deberá:
1. Recibir la Solicitud de cambio y revisar que ésta se haya entregado en el
formatodefinido y con la información mínima requerida.
2. Rechazar las Solicitudes de cambio que no cumplan con lo señalado en el factor crítico
anterior.
3. Verificar que el Solicitante del cambio esté autorizado para requerirlo.
4. Registrar la Solicitud de cambio en la herramienta tecnológica prevista en la actividad
ACMB-1.
5. Clasificar la Solicitud de cambio, tomando en cuenta los tipos, categorías y prioridades
establecidos.
6. Generar las Ordenes de trabajo para la evaluación del cambio.
7. Actualizar, con la información que se genere en esta actividad, el Repositorio
desolicitudes de cambio, por medio de la herramienta tecnológica.
ACMB-5 Evaluar y coordinar el cambio

Descripción Efectuar la evaluación de la Solicitud del cambio, coordinar a los involucrados para
laejecución del cambio y verificar el Programa de trabajo del cambio.
Factorescríticos Los Responsables de evaluar y ejecutar el cambio deberán:
1. Tomar en cuenta para la evaluación, la información contenida en las Ordenes detrabajo
para la solicitud del cambio, entre otra, la relativa a:
a) La justificación del cambio.
b) Los beneficios del cambio.
c) Los elementos de la configuración involucrados.
d) Los riesgos asociados al cambio.
e) Los recursos que se requieren para realizar el cambio.
f) Los responsables de la ejecución, prueba e implantación del cambio.
g) Los programas de trabajo y de retorno del cambio.
2. Efectuar la evaluación del cambio, para lo cual:
a) Identificarán la relación de este cambio con otros previos y, de ser el caso,definirán
acciones adicionales.
b) Verificarán el tipo, categoría y prioridad del cambio y, de ser necesario, ajustarán la
clasificación.
c) Revisar los riesgos asociados al cambio y proponer los controles que estimennecesarios
para evitar, mitigar o trasladar los riesgos.
d) Propondrán, de estimarlo necesario, al Grupo de trabajo asesor de cambios o alGrupo
de trabajo asesor de cambios de emergencia la realización deevaluaciones
extraordinarias o de emergencia, respectivamente.
El Grupo de trabajo asesor de cambios o, cuando corresponda, el Grupo de
trabajo asesor de cambios de emergencia, con apoyo del Responsable de
cambios, deberá:
3. Calendarizar las evaluaciones extraordinarias o de emergencia que les soliciten llevar a
cabo los Responsables de evaluar y ejecutar el cambio, considerando el tipo,categoría y
prioridad del cambio, mediante la elaboración de un Calendario deevaluaciones
extraordinarias.
4. Realizar las evaluaciones extraordinarias o de emergencia que les
correspondan,respecto de las Solicitudes de cambio en proceso de evaluación.
5. Analizar los resultados de las evaluaciones efectuadas conforme al factor crítico 2 y,en
su caso, al factor crítico 4, y conforme a éstos:
a) Obtener de los involucrados en el cambio, su autorización respecto del mismo.
b) Rechazar la Solicitud de cambio.
6. Revisar que el Programa de trabajo del cambio y el Programa de retorno del cambio se
encuentren alineados, de acuerdo a los resultados de las evaluaciones efectuadas.
7. Verificar que los Responsables de evaluar y ejecutar el cambio, precisen en laSolicitud
de cambio las fechas en que el cambio se ejecutará.
8. Actualizar el Calendario de cambios, así como difundirlo y mantenerlo disponible para
los involucrados en el Programa de trabajo del cambio.
9. Generar las órdenes de trabajo para la ejecución del cambio, e identificar en
elInstructivo para la atención de cambios, la forma en que será atendido el
cambioautorizado, para su envío a los responsables de ejecutar el cambio.
10. Dar seguimiento a la ejecución del cambio.
11. Actualizar, con la información que se genere en esta actividad, el Repositorio
desolicitudes de cambio, por medio de la herramienta tecnológica.
ACMB-6 Ejecución del cambio

Descripción Efectuar las pruebas previas a la implantación del cambio; implantar el cambio, así
comorealizar las pruebas posteriores a la implantación.
Factorescríticos Los Responsables de evaluar y ejecutar el cambio deberán:
1. Recibir las Ordenes de trabajo para la ejecución del cambio, así como verificar
que laforma identificada conforme al factor crítico 9 de la actividad anterior, para
la atención del cambio sea la que efectivamente corresponde al cambio a ejecutar.
2. Adecuar, en los cambios de emergencia que así lo requieran, el Programa de pruebas y
el Programa de retorno del cambio, para que los mismos se realicen en los tiempos y de
acuerdo a las necesidades del estado en el que se encuentre el ambiente operativo.
3. Ejecutar el programa de pruebas previas a la implantación del cambio y, en caso deque
éstas no resulten exitosas, aplicar el Programa de retorno del cambio ydocumentar las
actividades realizadas, en el registro de la Solicitud de cambio.
4. Implantar el cambio de acuerdo con las actividades y secuencia previstas en
elPrograma de liberación y entrega del proceso LE- Liberación y entrega.
5. Ejecutar el programa de pruebas posteriores a la implantación del cambio y, en caso de
que éstas no resulten exitosas, aplicar el Programa de retorno del cambio ydocumentar
las actividades realizadas, en el registro de la Solicitud de cambio.
6. Verificar el cambio efectuado y sus resultados, con la finalidad de obtener laaprobación
de los involucrados con el cambio, mediante el documento de Aceptaciónde resultados
del cambio, y posteriormente efectuar el cierre de éste.
7. Integrar en el Registro de pruebas previas y posteriores, la documentación quesoporte
la ejecución del cambio, incluidas las pruebas realizadas, y actualizar condicha
información el Repositorio de solicitudes de cambios.
8. Constatar que los ejecutores del cambio hayan registrado los resultados de éste
yobtenido la aprobación de los involucrados en el cambio, mediante el documento
deAceptación de resultados del cambio.
9. Solicitar, al Responsable del repositorio de la configuración, la actualización de
loselementos de configuración afectados, conforme al proceso ACNF-
Administración de la configuración.
ACMB-7 Revisión y cierre del cambio

Descripción Revisar y evaluar los resultados del cambio efectuado.
Factorescríticos El Responsable de cambios, con apoyo de los Responsables de evaluar y
ejecutar el cambio, deberá:
1. Confirmar y registrar lo siguiente:
a) Si el cambio cumplió su objetivo.
b) Si las actividades realizadas en el cambio se hicieron conforme a lo planeado,
c) Si se presentó alguna desviación que haya derivado en algún riesgo para elambiente
operativo o para el cambio mismo.
d) Si se presentó alguna falla en el cambio, que hubiere requerido la
aplicación delPrograma de retorno del cambio.
e) Si surgieron incidentes a partir de la aplicación del cambio.
2. Obtener y registrar la satisfacción del Solicitante del cambio y demás involucrados enel
mismo, respecto a su ejecución y a los resultados logrados.
3. Documentar las lecciones aprendidas e integrarlas a la Solicitud de cambio.
4. Efectuar la evaluación de la ejecución del cambio, conforme a lo establecido en
elproceso AE- Administración de la evaluación de TIC.
5. Actualizar con la información derivada de los factores críticos anteriores, la Solicitudde
cambio e integrar ésta al Repositorio de solicitudes de cambio.
1.1 "Solicitud de cambio", formato sugerido: anexo 17, formato 1.
1.2 "Características técnicas y funcionalidad de la herramienta tecnológica", formato sugerido:
anexo 17, formato 2.
1.3 "Descripción del acceso único para la administración de solicitudes de cambio",

1.4 "Catálogo de estados de la solicitud del cambio", formato sugerido: anexo 17, formato 4.
1.5 "Instructivo para la atención de cambios", conforme al formato que defina la Institución.
1.6 "Mecanismos de atención de cambios", formato sugerido: anexo 17, formato 5.
1.7 "Documento de descripción de roles y responsabilidades de los Grupos de trabajo
decambios al ambiente operativo de la UTIC", formato sugerido: anexo 17, formato 6.
1.8 "Relación de los responsables de la evaluación y ejecución de cambios",

formato sugerido: anexo 17, formato 7.
1.9 "Ordenes de trabajo para la evaluación del cambio", formato sugerido: anexo 17,
formato 8.
1.10 "Calendario de evaluaciones extraordinarias", formato sugerido: anexo 17, formato 9.

1.11 "Calendario de cambios", formato sugerido: anexo 17, formato 10.
1.12 "Ordenes de trabajo para la ejecución del cambio", formato sugerido: anexo 17,
formato 11.
1.13 "Programa de pruebas", formato sugerido: anexo 17, formato 12.

1.14 "Registro de pruebas previas y posteriores", formato sugerido: anexo 17, formato 13.
1.15 "Aceptación de resultados del cambio", formato sugerido: anexo 17, formato 14.
1.16 "Repositorio de solicitudes de cambio", definido por la Institución.

1.1 Responsable de cambios.
1.2 Grupo de trabajo asesor de cambios.
1.3 Grupo de trabajo asesor de cambios de emergencia.
1.4 Solicitante del cambio.
1.5 Responsables de evaluar y ejecutar el cambio.
Frecuencia de
cálculo
Eficiencia en Conocer la Obtener una Dimensión: % de eficiencia= (Número El Responsable del Semestral.
la aplicación eficiencia en medición del Eficiencia. de cambios exitosos / proceso ACMB-
de cambios. la atención proceso por medio Tipo: Total de cambios Administración de
de las del número de ejecutados) X 100 cambios.
Solicitudes cambios exitosos De gestión.
de cambio. con relación al total
de cambios
ejecutados.

1.1 El Responsable de cambios es el Responsable de este proceso.
1.2 El Responsable de cambios se deberá asegurar que los cambios de
emergencia respondan exclusivamente a un evento crítico o inesperado que ocasione la
interrupción de uno o más servicios de impacto para la Institución o que impida el
desarrollo de las actividades propias de la Institución. En estos casos, deberá obtener
visto bueno de los Responsables de los procesos del grupo OP, así como del Titular de la
UTIC.
1.3 El Responsable de cambios, en virtud de las características, complejidad o alcance de
loscambios solicitados, determinará con aprobación del Titular de la UTIC, cuáles
cambiosserán ejecutados conforme al grupo de procesos PR- Administración de
Proyectos.
1.4 El Responsable de calidad del proceso CST- Calidad de las soluciones tecnológicas
de TIC, deberá continuar el seguimiento de los defectos, hallazgos y "no
conformidades"detectados en dicho proceso, que se encuentren pendientes de resolución
al momento deentrega del paquete de la solución tecnológica para su entrada al ambiente
operativo.
5.8.2 LE - Liberación y entrega
General:
Integrar al ambiente operativo las liberaciones de las soluciones tecnológicas o servicios de TIC y
efectuarlas pruebas para asegurar que cumplen con los requerimientos técnicos establecidos.
Específicos:
1. Asegurar que los paquetes de liberación de las soluciones tecnológicas o servicios de TIC
seanconstruidos, instalados, probados y desplegados eficientemente en el ambiente productivo.
2. Instrumentar acciones para el seguimiento, verificación, retiro o respaldo de los paquetes de liberación de
las soluciones tecnológica o servicios de TIC, con la finalidad de responder oportunamente a las
necesidades de la Institución.
3. Registrar en el Repositorio de configuraciones los paquetes de liberación de las solucionestecnológicas o
servicios de TIC y de sus componentes, a fin de facilitar el acceso a los datosrequeridos para el
mantenimiento, continuidad y disponibilidad de los servicios que soporten.

LE-1 Definición para la construcción de paquetes de liberación
Descripción Elementos a considerar para la construcción de los diversos tipos de paquetes
deliberación y de las unidades que los integren.
1. Definir la construcción de cada paquete de liberación y de la unidad o unidades que lo
conformen, tomando en cuenta lo siguiente:
a) El detalle, granularidad o desagregación del paquete de liberación y de susrespectivas
unidades, en función de la complejidad de actualizacionessubsecuentes previstas.
b) El costo y la facilidad para liberar, actualizar o retirar del ambiente operativo, elpaquete
de liberación o una o más de sus unidades, en función de su tamaño,complejidad y
elementos del ambiente operativo con los que se relacionen.
c) Los costos y el tiempo requeridos para construir, distribuir y probar el paquete de
liberación y de sus respectivas unidades.
d) La disponibilidad del ambiente operativo.
e) Las necesidades de las Unidades administrativas solicitantes.
LE-2 Identificación de versiones

Descripción Identificar cada una de las versiones de los paquetes de liberación y de sus
respectivasunidades.
1. Establecer y mantener actualizada, una nomenclatura que permita identificar cada una
de las versiones de los paquetes de liberación y de sus respectivas unidades, por medio
del documento Nomenclatura para identificación de versiones. En la elaboración de la
nomenclatura es conveniente considerar lo siguiente:
a) Incluir como parte de la nomenclatura, la referencia a los elementos deconfiguración
involucrados, de manera que al identificar cada paquete deliberación se anote el
elemento o elementos de configuración con los que el mismo está relacionado.
b) Señalar un número secuencial para cada versión del paquete de liberación, y
unidentificador específico vinculado con el número correspondiente, para cada unade
las unidades que lo conformen.
LE-3 Definir la opción de liberación más conveniente

Descripción Obtener la opción de liberación más conveniente, con base en el análisis que se
efectúesobre las ventajas, los riesgos y el tipo, volumen, número de ubicaciones y
complejidad de la liberación a realizar.
1. Analizar los elementos que a continuación se indican, para obtener la opción
deliberación más conveniente:
a) Los riesgos y complejidad de la liberación, en función de los tiempos o fases de la
misma.
b) Las características y alcance de la solución tecnológica o servicio de TIC, paraidentificar
la opción de liberación, de acuerdo a lo siguiente:
i. Liberación masiva: cuando el riesgo y recursos sean bajos; sea rutinaria, o se trate de un
cambio de emergencia, que cuente con autorización previa del representante de la
Unidad administrativa solicitante del servicio de TIC y del Titular de la UTIC.
ii. Liberación por fases: cuando sea necesario realizar comprobaciones antesde una
liberación masiva, o se requiera verificar la opción de liberaciónejecutada.
iii. Liberación obligatoria: cuando se requiera forzar el paso al ambienteoperativo.
iv. Liberación de acceso voluntario: cuando sea posible centralizar elalmacenamiento de la
liberación y ofrecer a los usuarios del elemento aliberar, el momento para obtener la
liberación.
v. Liberación automática: cuando sea posible hacer el despliegue de laliberación con la
mínima intervención humana.
vi. Liberación manual: cuando sea posible aceptar el impacto derivado de errores al
momento de su aplicación, en virtud de ser éstos subsanables.
2. Integrar el resultado del análisis efectuado conforme al factor crítico anterior, en
elDocumento de Liberación y entrega, en el que se incluya la justificación de que
laopción obtenida es la más conveniente.
3. Obtener de los involucrados en la liberación y del Responsable del proceso AO-
Administración de la operación, su aprobación al Documento de Liberación y entrega, y
mantener éste disponible en la Solicitud de cambio que corresponda.
LE-4 Elaborar el Programa de liberación y entrega

Descripción Elaborar el Programa de liberación y entrega, con base en el Documento de liberación
yentrega.
Factorescríticos El Responsable de la implantación del paquete de liberación deberá:
1. Elaborar el Programa de liberación y entrega de la funcionalidad de la
solucióntecnológica o servicio de TIC, que será desplegada mediante la liberación de
lospaquetes previstos para tal efecto. Dicho Programa podrá integrarse, entre
otroselementos, de los programas piloto, de despliegue y de logística y entrega.
2. Revisar el Programa de liberación y entrega, así como los demás programas
deliberación que se tengan calendarizados o en proceso, para evitar algún
conflictoentre los mismos y asegurar su adecuada coordinación.
3. Comunicar, a través del Responsable de cambios, el Programa de liberación y entrega a
los involucrados con el cambio.
LE-5 Ejecutar el Programa de liberación y entrega

Descripción Efectuar las acciones requeridas para la ejecución del Programa de liberación y
entrega.
Factorescríticos El Responsable de liberación y entrega, con apoyo del Responsable de
laimplantación del paquete de liberación, deberá:
1. Ejecutar, conforme a lo previsto en el proceso ACMB- Administración de
cambios, elPrograma de liberación y entrega, mediante las acciones siguientes:
a) Verificar que en la construcción de los paquetes de liberación, así como en elambiente a
utilizar para ello, se cumpla con los controles de seguridad de lainformación previstos en
el SGSI.
b) Confirmar que el paquete de liberación se integre de activos y componentescompatibles
entre sí.
c) Identificar los elementos que se puedan construir y probar en paralelo eintegrarlos en un
sólo paquete de liberación.
d) Verificar interdependencias entre las unidades que conformen un paquete deliberación,
así como entre éste y otros paquetes de liberación.
e) Habilitar el ambiente para construir el o los paquetes de liberación.
f) Construir el o los paquetes de liberación para ambiente operativo, de manera que sea
factible que:
i. Se integren de manera controlada y puedan ser replicables.
ii. Una o más de sus unidades de liberación puedan ser removidas si causanfallas durante
su prueba u operación.
2. Registrar los avances en la construcción del o los paquetes de liberación paraambiente
operativo y de sus pruebas, en el Programa de liberación y entrega.
3. Realizar las pruebas a los elementos que conforman la liberación.
4. Empaquetar las liberaciones, de acuerdo con el o los paquetes de liberación
paraambiente operativo y de las unidades que los conforman.
5. Programar las acciones que habrán de efectuarse para la transición a la
operación,incluidas las relativas a la transferencia de responsabilidad de recursos y
ambientes.
6. Definir las acciones para la entrega a los responsables de la operación, de
ladocumentación y transferencia de conocimiento, así como de la
documentaciónrelativa a la construcción y liberación.
7. Realizar, previo a la ejecución de las pruebas del o los paquetes de liberación
paraambiente operativo, las acciones siguientes:
a) Determinar el ambiente necesario para probar las liberaciones, procurando queéste sea
lo más similar posible al ambiente productivo en el que se realizará laliberación.
b) Constatar que las actividades de prueba, así como el ambiente, cumplan con
loscontroles de seguridad de la información previstos en el SGSI.
c) Establecer métricas para conocer el impacto de la liberación en el ambiente, unavez que
ésta se haya desplegado.
d) Verificar que el ambiente operativo y los usuarios involucrados estén listos pararecibir la
liberación.
LE-6 Realizar pruebas del servicio
Descripción Llevar a cabo las pruebas que permitan verificar que el servicio y el ambiente sobre
el que se realizará la liberación y entrega final, recibirá los beneficios previstos
que originaron el cambio y la liberación.
Factorescríticos El Responsable de liberación y entrega deberá:
1. Efectuar la liberación del Paquete de liberación entregado, en el ambiente operativo.
2. Verificar que se haya mantenido la integridad de los Paquetes de liberación, durante el
desarrollo de la actividad anterior, y que se registren los Paquetes de liberación en el
Repositorio de configuraciones.
3. Verificar que una vez efectuada la liberación, el servicio involucrado cumpla con
losniveles de servicio establecidos.
4. Probar los servicios y componentes involucrados, directa o indirectamente, con
laliberación.
5. Identificar cualquier impacto no previsto en el ambiente, que se manifieste a través de
un Evento, Incidente o Problema.
6. Reportar el avance y los resultados de las pruebas de la liberación al Administrador del
cambio.
7. Verificar y reportar si la liberación se cumplió, conforme al Programa de liberación
yentrega definido, en el tiempo y con el costo previstos.
8. Registrar los Eventos, Incidentes y Problemas derivados de la liberación y confirmarque
se encuentren en niveles aceptables por la Institución y los Usuarios.
9. Integrar, con la información obtenida de los factores críticos anteriores, el
documentoResultado de las pruebas del servicio, e informar de ello al Responsable del
proceso.
El Responsable del proceso deberá:
10. Entregar al Responsable del proceso THO- Transición y habilitación de la operación, el
Paquete de liberación entregado y elaborar el Reporte de entrega, en el que
sedocumenten los resultados de los factores críticos anteriores.
11. Informar al Responsable de cambios de la conclusión de esta actividad.

1.1 "Nomenclatura para identificación de versiones", formato sugerido: anexo 18, formato 1.
1.2 "Documento de liberación y entrega", formato sugerido: anexo 18, formato 2.
1.3 "Programa de liberación y entrega", formato sugerido: anexo 18, formato 3.
1.4 "Paquete de liberación entregado", formato sugerido: anexo 18, formato 4.
1.5 "Resultado de las pruebas del servicio", formato sugerido: anexo 18, formato 5.
1.6 "Reporte de entrega", formato sugerido: anexo 18, formato 6.

1.1 Responsable del proceso LE- Liberación y entrega.
1.2 Responsable de la implantación del paquete de liberación.
1.3 Responsable de la construcción del paquete de liberación.
1.4 Responsable de liberación y entrega.
Frecuencia
decálculo
Eficiencia Conocer Obtención de Dimensión:Eficiencia. % de El Semestral.

enel losresultadosdel larelación depaquetes Tipo: eficiencia=(Número Responsable
procesoLE- procesomediante deliberaciónentregados de paquetesde delproceso LE-
Liberación lamedición desu entiempo y forma ylas De gestión. liberaciónentregados Liberación
yentrega. eficiencia. solicitudes en tiempoy forma / yentrega.
deconstrucción delos Número depaquetes
paquetes de
deliberaciónsolicitadas. liberaciónsolicitados)
X 100

1.1 El Responsable de este proceso, se deberá asegurar de que se efectúo la verificación
delos componentes y productos, previamente a la entrega de la liberación respectiva
alResponsable del proceso THO- Transición y habilitación de la operación, con la
finalidad de identificar potenciales vulnerabilidades.
5.8.3 THO - Transición y habilitación de la operación
General:
Establecer los programas que contengan las acciones que permitan ejecutar, monitorear y controlar
latransición a la operación de las soluciones tecnológicas o componentes de TIC, a fin de que evitar
riesgos,fallas o la interrupción de los servicios existentes en la Institución.
Específicos:
1. Asegurar que en la elaboración de los proyectos de transición a la operación y soporte de lassoluciones
tecnológicas, se incorpore la verificación de los requerimientos del diseño del servicio deTIC establecidos.
2. Identificar y realizar los ajustes que se requieran efectuar a las soluciones tecnológicas o a
loscomponentes de TIC, previo a su puesta en operación.
3. Confirmar que la transición de la operación y soporte de las soluciones tecnológicas de TIC, cumple con los
tiempos y costos previstos, así como con la calidad esperada.
4. Transferir la información y el conocimiento necesarios para la operación de las soluciones tecnológicas o
componentes de TIC.
THO-1 Planear la transición a la operación y soporte

Descripción Elaborar el Programa de proyecto de transición a la operación y soporte.
Factorescríticos El Responsable de la transición del servicio, con apoyo del Administrador
deproyecto y del Líder técnico de desarrollo, deberá:
1. Asegurarse que se tiene documentada la autorización para iniciar la transición
delservicio de TIC.
2. Elaborar el Programa de proyecto de transición a la operación y soporte, tomando
encuenta íntegramente la información entregada en el Paquete de diseño del
servicio de TIC. Dicho Programa deberá incluir, al menos, lo siguiente:
a) La definición de su alcance.
b) La calendarización de las actividades previstas para la transición a la operación y
soporte.
c) La identificación de los recursos necesarios para la ejecución del Programa y
laoperación y soporte del servicio de TIC de que se trate.
d) La previsión para que a cada involucrado se le provea durante la transición, de la
documentación suficiente sobre su rol y responsabilidades.
e) La definición sobre la forma en que se comunicará a los involucrados, de losavances y
resultados de las pruebas de aceptación.
f) Los controles sobre riesgos o fallas que pudieran incidir en el desarrollo de
lasactividades de transición, así como las acciones correctivas.
g) Las actividades de otros proyectos de transición que se encuentren en curso.
h) Las actividades en las que se prevea la participación de proveedores.
i) Las acciones para el inicio y estabilización de la operación del servicio de que setrate de
acuerdo a las especificaciones establecidas.
j) La revisión de los criterios técnicos de aceptación del servicio establecidos.
k) La integración del Programa de uso de recursos de TIC que elabore para elproyecto de
transición a la operación y soporte de que se trate.
THO-2 Establecer controles para verificar el valor del servicio

Descripción Establecer los controles que permitan identificar si la solución tecnológica o el servicio
deTIC, nuevo o modificado, provee el valor que la Institución requiere.
Factorescríticos El Responsable de la transición del servicio, con apoyo del
Administrador deproyecto y del Líder técnico de desarrollo, deberá:
1. Realizar las acciones necesarias para que los participantes en el proyecto detransición
a la operación y soporte, conozcan los requerimientos del nivel de servicio y criterios de
aceptación del servicio, así como los hitos de control del Programa deproyecto de
transición a la operación y soporte.
2. Identificar, de acuerdo con las especificaciones de diseño, los elementos
deconfiguración y componentes necesarios para realizar las pruebas previstas con
lacalidad requerida.
3. Definir los controles que serán utilizados en la verificación del servicio de TIC, conbase
en los criterios de aceptación del servicio establecidos.
4. Actualizar el Programa de uso de recursos de TIC y el Programa de proyecto
detransición a la operación y soporte.
THO-3 Ejecutar el Programa de proyecto de transición a la operación y soporte

Descripción Efectuar la transición de la solución tecnológica o del servicio de TIC, nuevo o
modificado,de acuerdo con lo previsto en el Programa de proyecto de transición a la
operación ysoporte acordado.
Factorescríticos El Responsable de la transición del servicio deberá:
1. Ejecutar y controlar el avance del proyecto de transición a la operación y soporte deque
se trate.
2. Requerir a la Unidad administrativa solicitante o al Solicitante del cambio,
segúncorresponda, su participación en la ejecución de las pruebas finales de
aceptación.
3. Efectuar los cambios programados al servicio en transición, de manera tal que
semantenga la integridad de los activos de TIC y del ambiente operativo, durante
latransición a la operación y soporte.
4. Mantener informados a los involucrados en el proyecto de transición a la operación
ysoporte sobre cualquier asunto relacionado con la transición, operación, riesgos
odesviaciones.
5. Informar al Responsable del repositorio de la configuración de cualquier adición, retiro o
modificación de elementos de la configuración que resulten de la ejecución del proyecto
de transición a la operación y soporte, para que realice la actualización del Repositorio
de configuraciones.
6. Actualizar el Programa de proyecto de transición a la operación y soporte.
THO-4 Monitorear la transición a la operación y soporte

Descripción Monitorear el desarrollo de las actividades relativas a la transición del servicio, nuevo
omodificado, a la operación y soporte.
1. Dar seguimiento a la transición a la operación y soporte de los servicios de TIC,
deacuerdo con los controles y los hitos definidos en el Programa de
proyecto detransición a la operación y soporte respectivo.
2. Establecer métricas para conocer la eficiencia en la ejecución del proyecto detransición
a la operación y soporte.
3. Actualizar los requerimientos de niveles de servicio, cuando durante el monitoreo
sedetecten desviaciones y se cuente con la autorización de la Unidad
administrativasolicitante o del Solicitante del cambio.
4. Elaborar el documento de Lecciones aprendidas.
5. Integrar los datos del monitoreo efectuado en el Informe de rendimiento del proyecto de
transición a la operación y soporte, incluyendo los resultados de las
medicionesefectuadas respecto de la eficiencia en la ejecución del proyecto de
transición a laoperación y soporte.

1.1 "Programa de proyecto de transición a la operación y soporte", formato sugerido:
anexo19, formato 1.
1.2 "Programa de uso de recursos de TIC", formato sugerido: anexo 19, formato 2.
1.3 "Informe de rendimiento del proyecto de transición a la operación y soporte",

1.1 Responsable del proceso THO- Transición y habilitación de la operación.
1.2 Responsable de la transición del servicio.

Frecuencia de
cálculo
Eficiencia enel Medir laeficiencia Conocer Dimensión:Eficiencia % de eficiencia El Semestral

procesoTHO- delproceso enbase losresultados . =(Número de Responsabl .
Transición alnúmero delproceso Tipo: Programasde e delproceso
yhabilitaciónd detransicionesefectuada mediantela relación proyectos THO-
e laoperación. s deacuerdo a entreel número De gestión. detransición a la Transición
loplaneado. deprogramas operacióny yhabilitación
detransición a soporte ejecutados de
laoperación entiempo y forma / laoperación.
ysoporte,ejecutado Númerode
s entiempo y forma. Programas
deproyectos de
transición ala
operación y
soporteejecutados
) X 100

1.1 El Responsable de este proceso, en cada transición que le sea solicitada, evaluará
laconveniencia de que dicha transición se administre mediante un proyecto de TIC sujeto
alproceso APTI- Administración de proyectos de TIC, con independencia del desarrollo
de las actividades previstas en el presente proceso.
1.2 El Responsable de la transición del servicio deberá tomar en cuenta que en caso
derequerir alguna información para ejecutar la transición a la operación y soporte,
deberásolicitarla directamente al solicitante de dicha transición.
1.3 Cuando con motivo de la ejecución de un proyecto de transición a la operación y
soporte,se llegaren a requerir cambios a los elementos que se estén integrando al
ambienteoperativo o a éste, dichos cambios deberán realizarse observando el proceso
ACMB-Administración de cambios.
5.8.4 ACNF - Administración de la configuración
General:
Establecer y actualizar un repositorio de configuraciones, en el que se integren las soluciones
tecnológicasy sus componentes, así como la información funcional y técnica de los mismos y la relativa a
los diversosambientes y arquitecturas tecnológicas de la UTIC, como elementos de configuración, con la
finalidad defacilitar su acceso a los involucrados en los demás procesos contenidos en este Manual,
cuando éstos asílo requieran para la operación del proceso respectivo.
Específicos:
1. Identificar, registrar, controlar y verificar los datos de los elementos de configuración, así como
lainformación relacionada con los mismos.
2. Mantener actualizada la información contenida en el Repositorio de configuraciones y disponible paralos
servidores públicos de la UTIC involucrados en los diferentes procesos.
ACNF-1 Establecer la cobertura y el alcance de la administración de la configuración

Descripción Identificar las soluciones tecnológicas y sus componentes, así como los
diversosambientes y arquitecturas tecnológicas de la UTIC, como elementos de
configuración, para establecer la cobertura que tendrá el proceso, así como el alcance de
la administración sobre los elementos de la configuración y sus componentes.

1. Identificar los elementos de configuración para determinar, de acuerdo a lasnecesidades
y recursos con los que cuenta la UTIC, los que serán administrados eneste proceso.
2. Elaborar un programa para la integración de los elementos de configuración en
elRepositorio de configuraciones. Dicho programa podrá ser gradual, en cuyo caso
seconsiderará lo siguiente:
a) La criticidad e impacto en caso de falla de los elementos a administrar.
b) El tipo de los elementos a administrar.
c) Los servicios actuales y los proyectados.
d) La o las localidades en que se ubican los elementos a administrar.
3. Seleccionar los elementos de configuración que requerirán de líneas base para
suadministración del registro en el Repositorio de configuraciones.
4. Implantar acciones de control para la administración del Repositorio deconfiguraciones,
considerando, al menos:
a) Las necesarias para la implantación y mantenimiento de herramientas tecnológicas para
la administración del repositorio.
b) El mantenimiento al Modelo de datos del Repositorio de configuraciones.
c) La definición y aplicación de criterios técnicos para realizar modificaciones a losestados
de los elementos de configuración o componentes.
d) Que la incorporación de elementos de configuración o componentes al Repositorio de
configuraciones se realice a través del proceso ACMB- Administración de cambios.
e) Las relativas a la administración de los usuarios del Repositorio deconfiguraciones,
incluyendo perfiles y permisos.
f) La definición del formato que permita la identificación en el repositorio de loselementos
físicos de la configuración, sin perjuicio de lo dispuesto en el Acuerdopor el que se
establecen las disposiciones en Materia de Recursos Materiales yServicios Generales,
en lo relativo a inventarios.
g) El calendario de respaldos del Repositorio de configuraciones.
h) Las revisiones al Repositorio de configuraciones y su calendarización.
5. Integrar, el resultado de los factores críticos anteriores, en el Documento de cobertura y
alcance de la administración de la configuración.
6. Obtener la autorización del Titular de la UTIC del Documento de cobertura y alcance de
la administración de la configuración, y difundirlo a los Responsables de los demás
procesos de este Manual.
ACNF-2 Definir la estructura del Repositorio de configuraciones.

Descripción Definir la estructura del Repositorio de configuraciones, con base en la identificación
de las características de los elementos de configuración y componentes que
serán administrados en dicho repositorio, y de la infraestructura de TIC de la Institución.
Factorescríticos El Responsable del repositorio de configuraciones, con apoyo del Responsable
del proceso, deberá:
1. Definir la estructura de datos que requerirá el Repositorio de
configuraciones,considerando, al menos, lo siguiente:
a) Los atributos de los elementos de configuración y de sus componentes, como loson,
entre otros: su identificador único, nombre, descripción, ubicación, versión,responsable,
interrelación con otros elementos, clase y categoría, así comoestado en que se
encuentra el elemento o componente.
b) Los atributos mínimos para conformar las líneas base.
c) La nomenclatura de los elementos de configuración y de sus componentes,integrada por
caracteres que refieran al nombre, versión, clase, grupo y tipo,entre otros.
d) La información de los elementos de configuración y, en su caso, de suscomponentes,
que, para su administración, no requieren contar con líneas base.
e) Identificar la relación funcional entre los elementos de configuración y suscomponentes,
así como su relación con elementos de otros procesos y sistemas, tales como: líneas
base, acuerdos de niveles de servicio, roles, registros de incidentes, problemas,
cambios y liberaciones, así como documentación relacionada.
f) Identificar las relaciones de dependencia entre los elementos de configuración ysus
componentes.
g) Integrar un catálogo que permita identificar los diferentes estados en que pueden
encontrarse los elementos de configuración o sus componentes, considerando entre
otros, los siguientes:
i) En desarrollo. Aplica a elementos o componentes en proceso de desarrollo,instalación,
configuración, personalización, entre otros.
ii) Borrador. Aplica a elementos o componentes en proceso de elaboración noconcluidos o
no aprobados.
iii) Aprobado. Aplica a elementos o componentes cuya elaboración o desarrollose
encuentra terminado y aceptado.
iv) Activo. Aplica a elementos o componentes en operación.
v) Suspendido. Aplica a elementos o componentes que temporalmente seencuentran
inactivos, pero que son susceptibles de entrar nuevamente enoperación.
vi) Retirado. Aplica a elementos o componentes que quedan fuera de operación, pero que
son susceptibles de reutilizarse para otros elementos ocomponentes de configuración.
vii) Fuera de uso. Aplica a elementos o componentes que quedan fuera deoperación y que
no son susceptibles de reutilizarse.
h) Los criterios técnicos para la modificación de los estados de los
elementos deconfiguración o de alguno de sus componentes.
i) Incluir un módulo para la administración de usuarios del repositorio, que contemple un
registro de sus accesos (pistas de auditoría).
2. Desarrollar, con la información del factor crítico anterior, el Modelo de datos
delrepositorio de configuraciones.
3. Obtener del Titular de la UTIC su autorización al Modelo de datos del repositorio
deconfiguraciones, para la implantación del repositorio y comunicar a los
Responsablesde los demás procesos de este Manual, sobre su disponibilidad.
ACNF-3 Registrar los elementos de configuración en el Repositorio de configuraciones

Descripción Efectuar el registro en el Repositorio de configuraciones, de los datos e información de los
elementos de configuración y sus componentes.
Factorescríticos El Responsable del repositorio de configuraciones deberá:
1. Realizar, de acuerdo con el programa previsto en la actividad ACNF-1, el registro en el
Repositorio de configuraciones de:
a) Las líneas base de los elementos de configuración y, en su caso, de suscomponentes,
conforme a lo siguiente:
i) Acordar previamente con los involucrados, las líneas base que seránregistradas.
ii) Fijar la totalidad de las líneas base de cada elemento de configuración crítico y
posteriormente, de acuerdo a lo establecido en el programa para laintegración de los
elementos de configuración en el Repositorio deconfiguraciones, fijar las líneas base de
los demás elementos deconfiguración.
iii) Identificar de manera particular las líneas base de aquellos elementos deconfiguración
que por virtud de su actualización, cuentan con versiones.
b) La información de los elementos de configuración y, en su caso, de suscomponentes,
que, para su administración, no requieren contar con líneas base.
c) La información adicional de los elementos de configuración y, en su caso, de sus
componentes que ya se encuentren registrados conforme a lo previsto en elinciso a) de
este factor crítico.
2. Incorporar en el Repositorio de configuraciones, la información que, de acuerdo con lo
previsto en otros procesos del presente Manual, deba integrarse al mismo.
ACNF-4 Efectuar revisiones al Repositorio de configuraciones

Descripción Efectuar revisiones al Repositorio de configuraciones y a las actividades del proceso, a
finde constatar que: la integración de la información se haya efectuado conforme a
loprevisto en este proceso; que dicha información sea consistente y se
encuentreactualizada en el repositorio, y que ésta corresponda efectivamente con la de
loselementos de configuración y componentes que se encuentren en los ambientes de
laUTIC.
1. Establecer y ejecutar un Programa de revisiones al repositorio de configuraciones, así
como a las actividades de este proceso. Dicho Programa será semestral y deberá incluir
actividades de revisión a:
a) El contenido del Repositorio de configuraciones, respecto a:
i) Nomenclaturas de los datos de los elementos de configuración ycomponentes.
ii) Datos de los elementos de configuración y componentes, de acuerdo a ladefinición del
Modelo de datos del repositorio de configuraciones.
iii) Relaciones entre elementos; entre elementos y sus componentes; entrecomponentes de
elementos y otros elementos, así como entre componentes de diversos elementos.
iv) Líneas base de los elementos y componentes.
v) La documentación de liberaciones de soluciones tecnológicas y servicios deTIC, en lo
referente a los datos de los elementos y sus configuracionesregistradas en el
repositorio.
b) El contenido del Repositorio de configuraciones con respecto a los ambientes de la
UTIC, considerando:
i) Las características y parámetros de operación que tienen los elementos de la
configuración y sus componentes en el ambiente operativo, en relación con los datos
contenidos en el repositorio.
c) La seguridad de los datos del Repositorio de configuraciones, con respecto a:
i) Los respaldos del repositorio, su capacidad de recuperación y suconsistencia con el
ambiente en que se encuentre el repositorio.
d) El cumplimiento a las actividades del proceso, en lo relativo a:
i) La integración o actualización de información relacionada con los elementosde
configuración o de sus componentes.
ii) La consistencia entre los datos de usuarios y los permisos y accesos activos en relación
con los controles documentados y autorizados.
iii) La consistencia entre las solicitudes de actualización recibidas con respectoa las que se
encuentren registradas en el repositorio.
2. Efectuar las actividades de revisión contempladas en el factor crítico anterior,
cuandocon motivo de la identificación de alguna inconsistencia en los datos de
los elementos de configuración o de sus componentes, así lo requiera.
3. Documentar el resultado de las revisiones efectuadas; las inconsistencias y hallazgos
identificados, así como las acciones preventivas y correctivas propuestas.
4. Incorporar en el documento Reporte de resultados de revisiones al repositorio
deconfiguraciones, la información de los factores críticos 3 y 4, y enviarlo
cuandocorresponda, al Responsable del proceso OSGP- Operación del sistema de
gestión ymejora de los procesos de la UTIC, para que determine las acciones de mejora
aejecutar.
ACNF-5 Desarrollar y controlar los almacenes y librerías de configuraciones

Descripción Implantar las librerías y almacenes de los elementos de la configuración y
suscomponentes.
Factorescríticos El Responsable este proceso deberá:
1. Implantar e integrar en el Catálogo de librerías y almacenes de configuraciones,
losrepositorios siguientes:
a) Librería segura del repositorio de configuraciones.
b) Almacén seguro del repositorio de configuraciones.
c) Librería definitiva de medios del repositorio de configuraciones.
d) Almacén de repuestos definitivos del repositorio de configuraciones.
2. Establecer perfiles y permisos para el acceso de los usuarios a los repositorios que se
implanten, conforme al factor crítico anterior.
3. Definir las acciones para la actualización de los repositorios a que se refiere
estaactividad.
4. Implantar controles para la seguridad de los repositorios señalados, en congruenciacon
lo establecido en el SGSI, previsto en el proceso ASSI- Administración de laseguridad
de los sistemas informáticos.

1.1 "Documento de cobertura y alcance de la administración de la configuración",
1.2 "Modelo de datos del repositorio de configuraciones", conforme al formato que defina
laInstitución.
1.3 "Programa de revisiones al repositorio de configuraciones", formato sugerido: anexo
20,formato 2.
1.4 "Reporte de resultados de revisiones al repositorio de configuraciones", formato
1.5 "Catálogo de librerías y almacenes", formato sugerido: anexo 20, formato 4.

1.1 Responsable del proceso ACNF- Administración de la configuración.
1.2 Responsable del repositorio de configuraciones.
Frecuencia de
cálculo
Cumplimiento Conocer el Medir el Dimensión: % de eficiencia= El Responsable Anual.

del proceso cumplimiento cumplimiento del Eficiencia. (Número de revisiones del proceso
ACNF- del proceso. proceso mediante Tipo: efectuadas al ACNF-
Administración la obtención de su Repositorio de Administración de
de la eficiencia, con De gestión. configuraciones / la configuración.
configuración. base en el número Número de revisiones
de revisiones que debieron ser
efectuadas al efectuadas al
Repositorio de Repositorio de
configuraciones. configuraciones) X 100
5.9 OS - OPERACION DE SERVICIOS

5.9.1 OMS - Operación de la mesa de servicios
General:
Establecer y operar una Mesa de servicios, como punto único de contacto para que los usuarios de
losactivos y servicios de TIC hagan llegar sus solicitudes de servicio, a efecto de que las mismas
seanatendidas de acuerdo a los niveles de servicio establecidos.
Específicos:
1. Establecer una Mesa de servicios para administrar el ciclo de vida de las solicitudes de servicio que se
reciben en la UTIC.
2. Contar con herramientas tecnológicas que permitan a los usuarios de la Mesa de servicios, el acceso a la
información sobre el trámite y estado que guardan las Solicitudes de servicio presentadas.
3. Resolver el mayor número de solicitudes posible en el primer nivel de atención de la Mesa de servicios.
4. Medir la satisfacción del usuario con respecto al uso de los servicios provistos por la Mesa de servicios y
comunicar los resultados a los involucrados en este u otros procesos relacionados, con el propósito de que
se implementen las mejoras respectivas.
OMS-1 Establecer la administración de las solicitudes de servicio

Descripción Establecer una Mesa de Servicios, como el acceso único a través de la cual se
administrede manera centralizada el ciclo de vida de las Solicitudes de servicio que
presenten a laUTIC los usuarios de activos y servicios de TIC.

1. Establecer la Mesa de servicios, como el acceso único centralizado en la UTIC, para la
recepción, trámite, ejecución, seguimiento y control de las Solicitudes de servicio que
presenten los usuarios de los activos y servicios de TIC.
2. Implantar, para la operación de la Mesa de servicios y de acuerdo a los recursos
ynecesidades de la UTIC, una herramienta tecnológica que permita la
recepción, trámite, ejecución, seguimiento y control del ciclo de vida de las Solicitudes
de servicio, así como el manejo de alertas y controles de seguridad.
3. Difundir los servicios que proporciona la Mesa de servicios entre los usuarios de
laInstitución.
OMS-2 Establecer los tipos, estados e información mínima de las Solicitudes de servicio
Descripción Definir la información mínima que deberán contener las Solicitudes de servicio,
de acuerdo al tipo de solicitud, así como los estados sobre el ciclo de vida de las mismas.
Factorescríticos El Responsable de este proceso, con apoyo del Responsable de la Mesa
deservicios, deberá:
1. Definir la información mínima que será necesario incorporar en una Solicitud deservicio,
para el caso de que ésta derive de un requerimiento de servicio o bien,cuando se trate
de un Incidente o Problema, incluyendo la que permita identificar alResponsable o
Responsables del proceso o procesos involucrados en la atención dela Solicitud de
servicio de que se trate.
2. Señalar, en su caso, la autorización o autorizaciones que se deberán obtener para
laatención de las Solicitudes de servicio.
3. Definir, de acuerdo al tipo de solicitud (requerimiento de servicio, Incidente o Problema),
la información adicional que el usuario o bien, alguna área de la UTIC deberá
proporcionar o integrarse en la Solicitud de servicio.
4. Definir un catálogo de estados sobre el ciclo de vida de las Solicitudes de servicio, que
incluya los supuestos para efectuar la modificación de un estado a otro, con lafinalidad
de que la Mesa de servicios lleve un control sobre el estado en que seencuentra el
trámite de atención de cada una de las Solicitudes de servicio. Dichocatálogo se
actualizará conforme a las necesidades de operación de la Mesa deservicios.
5. Integrar en la herramienta tecnológica a que se refiere el factor crítico 2 de la actividad
anterior, así como en el Repositorio de solicitudes de servicio, los tipos y el catálogo de
estados sobre el ciclo de vida de las Solicitudes de servicio.
6. Establecer los tiempos de respuesta y niveles de servicio que proporcionará la Mesade
servicios, de acuerdo a los tipos de Solicitudes de servicio que reciba.
7. Establecer los perfiles y permisos para el acceso a la herramienta tecnológica, paralos
Integrantes de la mesa de servicios y usuarios de la misma.
OMS-3 Establecer las acciones para la atención y resolución de Solicitudes de servicio

Descripción Establecer las acciones que se deberán desarrollar para que los Integrantes de la
Mesa de servicios atiendan y resuelvan o, en su caso, tramiten la resolución de las
Solicitudes de servicio que se reciban, de acuerdo a su tipo.
Factorescríticos El Responsable del proceso, con apoyo del Responsable de la mesa de
servicios deberá:
1. Definir el ciclo de vida de las Solicitudes de servicio originadas por Incidentes, asícomo
las condiciones que habrán de observarse para su cierre.
2. Definir acciones para la atención y resolución de Solicitudes de servicio que derivende
Incidentes, considerando al menos lo siguiente:
a) La identificación del activo o servicio de TIC afectado.
b) La identificación del impacto del Incidente en los servicios de TIC.
c) La identificación de los procesos de la UTIC involucrados.
d) La investigación, diagnóstico, solución y restauración del servicio afectado.
e) En su caso, el escalamiento necesario para la atención de los Incidentes.
3. Definir el ciclo de vida de las Solicitudes de servicio, cuyo objeto sea el requerimientode
un servicio, así como las condiciones que habrán de observarse para su cierre.
4. Definir acciones para la atención y resolución de Solicitudes de servicio, cuyo objetosea
el requerimiento de un servicio, considerando al menos lo siguiente:
a) La identificación del requerimiento del servicio.
b) La identificación del impacto y, en su caso, la urgencia del requerimiento deservicio si no
fuera posible su atención.
d) La atención del requerimiento de servicio y entrega de la solución.
e) En su caso, el escalamiento necesario para la atención de los requerimientossolicitados.
5. Definir el ciclo de vida para la atención de Problemas, así como así como
lascondiciones que habrán de observarse para su cierre.
6. Definir acciones para la atención de Problemas que se conozcan con motivo de
lapresentación de una o más Solicitudes de servicio por Incidentes, considerando
almenos lo siguiente:
a) La identificación y registro de los Problemas, en la herramienta tecnológicaprevista en la
actividad OMS-1.
b) La identificación del impacto de los Problemas y, en su caso, la urgencia para
susolución.
d) La investigación, diagnóstico y solución de los Problemas, así como larestauración del
servicio o servicios afectados.
7. Implantar un Repositorio de conocimiento, que permita integrar la información derivada
de la resolución de Incidentes, requerimientos de servicios y Problemas a que se
refieren los factores críticos anteriores, el cual deberá estar disponible para los
involucrados en este proceso, así como para los Responsables de los
dominiostecnológicos de la UTIC.
8. Implantar acciones para el seguimiento de la Solicitud de servicio durante su ciclo
devida, tanto por los Integrantes de la mesa de servicios como por los
usuariossolicitantes del servicio y asegurar que éstos cuenten con los accesos
necesarios ala herramienta tecnológica para obtener los Reportes de monitoreo que
requieran.
OMS-4 Registrar e identificar las Solicitudes de servicio y dar soporte inicial al usuario
Descripción Identificar y registrar las Solicitudes de servicio conforme a las acciones para la atención y
resolución establecidas.
Factorescríticos Los Integrantes de la mesa de servicios, con apoyo del Responsable de la mesa
de servicios, deberán:
1. Recibir, mediante la herramienta tecnológica a que se refiere la actividad OMS-1,
lasSolicitudes de servicio y, cuando corresponda, efectuar su registro en el
Repositoriode solicitudes de servicio.
2. Revisar que la Solicitud de servicio recibida, contenga la información mínima requerida
y, en caso contrario, rechazar la Solicitud de servicio, o bien, solicitar al usuario o al
área de la UTIC que corresponda, la información adicional que se deberá proporcionar o
integrar a la Solicitud de servicio para su atención.
3. Identificar el tipo de Solicitud de servicio y establecer su prioridad, conforme al impacto
o urgencia del requerimiento de servicio o Incidente.
Los Integrantes de la mesa de servicios, con apoyo de Responsable
derequerimientos, incidentes y problemas, deberán:
4. Proveer el soporte inicial a los usuarios y, dar seguimiento a la Solicitud de serviciohasta
su cierre, mediante la herramienta tecnológica.
OMS-5 Analizar, resolver y entregar la solución

Descripción Analizar la Solicitud de servicio y plantear la solución a la misma.
Factorescríticos Los Equipos responsables de atender y solucionar las solicitudes de servicio,
con apoyo del Responsable de requerimientos, incidentes y problemas, deberán:
1. Coordinarse con los Responsables de los procesos involucrados en la Solicitud
deservicio, para agilizar la investigación y diagnóstico de la Solicitud de servicio,
paraque coadyuven en la investigación técnica que realice y, en general, cuando así
serequiera para la atención y resolución de la Solicitud de servicio.
2. Realizar, de acuerdo al tipo de Solicitud de servicio de que se trate, las
accionesprevistas en la actividad OMS-3 para atender y resolver en el tiempo de
respuesta ycon el nivel de servicio establecido, la Solicitud de servicio correspondiente.
3. Utilizar el Repositorio de conocimiento como apoyo para la atención y resolución
deIncidentes.
4. Documentar la Solución entregada para la atención de la Solicitud de servicio, yrealizar
el registro de dicha información en el Repositorio de solicitudes de servicio, así como en
el Repositorio de conocimiento de solicitudes de servicio e incidentes.
OMS-6 Evaluar y cerrar las solicitudes de servicio

Descripción Evaluar las Solicitudes de servicio para constatar que las mismas se hayan resuelto
con la Solución entregada, así como modificar su estado a concluidas, con el propósito
de que el usuario solicitante efectúe su cierre y finalice su ciclo de vida.
Factorescríticos El Responsable de la mesa de servicios, con apoyo de los Equipos
responsables de atender y solucionar las solicitudes de servicio, deberá:
1. Evaluar el resultado de la entrega, incluida la revisión a la Solución entregada
paraverificar que opere de acuerdo a lo previsto en la Solicitud de
servicio correspondiente y efectuar las acciones necesarias para la aceptación del
usuario.
2. Registrar en la herramienta tecnológica, la información que derive del factor
críticoanterior; la relativa al cierre de la Solicitud de servicio concluida, de acuerdo a
su tipo, así como el resultado de la evaluación del usuario.
OMS-7 Medir la satisfacción del usuario

Descripción Determinar la satisfacción del usuario de la Mesa de servicios, a través de la
aplicación de Encuestas o cuestionarios.
1. Establecer los objetivos y metas de las Encuestas o cuestionarios y difundirlos tantoen
la UTIC como a los usuarios de la Mesa de servicios.
2. Diseñar Encuestas o cuestionarios para obtener resultados de satisfacción del usuario
confiables.
3. Determinar una muestra representativa de usuarios de la Mesa de servicios, paraaplicar
las Encuestas o cuestionarios.
4. Aplicar las Encuestas o cuestionarios, registrar y consolidar sus resultados yenviarlos al
Responsable del proceso OSGP- Operación del sistema de gestión ymejora de los
5. Comunicar los resultados de las Encuestas o cuestionarios aplicados al
Recursohumano en la UTIC y a los usuarios de la Mesa de servicios.

1.1 "Solicitud de servicio", formato sugerido: anexo 21, formato 1.
1.2 "Encuestas o cuestionarios", formato sugerido: anexo 21, formato 2.
1.3 "Reportes de monitoreo", conforme al formato que defina la Institución.
1.4 "Solución entregada", conforme al formato que defina la Institución.
1.5 "Repositorio de solicitudes de servicio", definido por la Institución.
1.6 "Repositorio de conocimiento de solicitudes de servicio e incidentes", definido por
laInstitución.

1.1 Responsable del proceso OMS- Operación de la mesa de servicios.
1.2 Responsable de la mesa de servicios.
1.3 Responsable de requerimientos, incidentes y problemas.
1.4 Integrantes de la mesa de servicios.
1.5 Equipos responsables de atender y solucionar las solicitudes de servicio.
Frecuencia de
cálculo
Eficiencia del Conocer la Medir el número Dimensión: % de eficiencia= El Responsable del Semestral.
proceso OMS- eficiencia con de Solicitudes de Eficiencia. (Número de Solicitudes proceso OMS-
Operación de que se servicio resueltas Tipo: de servicio resueltas en Operación de la
la mesa de atienden las en el tiempo el tiempo comprometido mesa de servicios.
servicios. solicitudes de comprometido. De gestión. / Número de Solicitudes
la Mesa de de servicio recibidas)
servicios. X 100
Satisfacción Conocer la Medir el proceso Dimensión: Indice= (Número de El Responsable del Semestral.
del usuario. satisfacción en función de la Calidad. usuarios satisfechos con proceso OMS-
del usuario en satisfacción de los Tipo: el servicio recibido / Operación de la
el proceso usuarios que Número total de mesa de servicios.
OMS- reciben el servicio De gestión. servicios
Operación de del proceso. proporcionados) X 100
la mesa de
servicios.

1.1 El Responsable de este proceso deberá comunicar a los usuarios de equipos
de escritorio, equipos portátiles, servicios de Internet e Intranet, soluciones tecnológicas
y cualquier otro activo o servicio de TIC, las disposiciones aplicables sobre el uso y
cuidado de dichos bienes y obtener evidencia de tal comunicación.
1.2 El Responsable de este proceso deberá comunicar a los usuarios de equipos
de escritorio, equipos portátiles, servicios de Internet e Intranet, soluciones tecnológicas
y cualquier otro activo o servicio de TIC que requerirán solicitar autorización previa de
dicho Responsable, así como del Responsable del proceso AO- Administración de la
operación, para que a través de los referidos equipos, se provean servicios de Internet o
de transferencia de datos, debiendo obtener evidencia de tal comunicación.
1.3 El Responsable de este proceso, deberá verificar con el Responsable del
dominiotecnológico de cómputo de usuario final, que los equipos de cómputo que
seránentregados a los usuarios se encuentren libres de virus informático y cuenten con
elsoftware necesario para mantener la seguridad del equipo y de la red institucional, y
quepermita el análisis de los mensajes de entrada o salida del correo electrónico, así
como de archivos electrónicos provenientes de dispositivos externos, con el objeto de
eliminar virus informáticos o contenidos maliciosos.
5.9.2 ANS - Administración de niveles de servicio

General:
Establecer respecto de los servicios disponibles en la UTIC, niveles de servicio susceptibles
decomprometerse para los diversos servicios de TIC que requieran las Unidades administrativas
solicitantes,mediante Acuerdos de nivel de servicio SLA y Acuerdos de nivel operacionales OLA, así como
darseguimiento al cumplimiento de éstos para identificar áreas de oportunidad y definir las
acciones aplicables.
Específicos:
1. Que los diferentes servicios de TIC que sean solicitados a la UTIC, cuenten con un Acuerdo de nivel de
servicio SLA, considerando los requerimientos de la institución y las capacidades de la infraestructura
tecnológica de TIC.
2. Asegurar, mediante el monitoreo de los Acuerdos de nivel de servicio SLA y de Acuerdos de
niveloperacional OLA, y las consecuentes acciones de mejora, el cumplimiento de los niveles de
serviciocomprometidos.
ANS-1 Definir y actualizar los acuerdos de niveles de servicio y operacionales

Descripción Definir con los usuarios de cada servicio de TIC, el nivel de servicio que es
posiblecomprometer, en función de los requerimientos de operación del servicio y
las necesidades de la Unidad administrativa solicitante.
servicios de TIC, deberá:
1. Establecer con los Responsables de los procesos de la UTIC, así como con tercerosque
presten un servicio de TIC, Acuerdos de nivel operacional OLA, con la finalidad de
definir los niveles de servicio disponibles de los diversos elementos y componentes que
conforman la infraestructura tecnológica de la UTIC, y con ello estar en posibilidad de
asegurar a las unidades administrativas de la Institución, un nivel de servicio para
atender sus requerimientos de servicios de TIC.
2. Incluir en la documentación que se integre a cada Acuerdo de nivel operacional OLA,la
definición de los elementos y componentes de la infraestructura tecnológica de laUTIC,
así como de la arquitectura tecnológica de los servicios de TIC que serán objeto del
Acuerdo respectivo, los tiempos de respuesta en caso de falla, el horario de soporte y
los tiempos de recuperación, entre otros aspectos.
3. Definir el nivel de servicio que es posible comprometer, atendiendo a:
a) Los objetivos estratégicos de la Institución.
b) La capacidad y disponibilidad de entrega de la UTIC.
4. Incluir en la documentación que se integre a cada Acuerdo de nivel de servicio SLA, la
definición de los servicios de TIC existentes involucrados, los tiempos de respuesta en
caso de falla, el horario de soporte y los tiempos de recuperación, entre otros aspectos.
5. Verificar que los Acuerdos de nivel de servicio SLA y los Acuerdos de niveloperacional
OLA, sean susceptibles de ser monitoreados y medidos.
6. Acordar con las Unidades administrativas solicitantes, el nivel de servicio con el queles
será proporcionado el servicio requerido, considerando al efecto losrequerimientos de
operación de dicho servicio y las necesidades señaladas por lasmismas, así como
obtener su aprobación en el respectivo Acuerdo de nivel de servicio SLA.
7. Actualizar, mediante un control de cambios, los Acuerdos de nivel de servicio
SLAcuando se requiera por necesidades de la Institución, y comunicar el cambio a
losinvolucrados.
8. Comunicar a los Responsables de los procesos DSTI- Diseño de los servicios de TIC y
ADT- Administración de los dominios tecnológicos, los Acuerdos de nivel de servicio
SLA y los Acuerdos de nivel operacional OLA que se establezcan conforme al previsto
en esta actividad, para que los mismos sean considerados en la elaboración de los
programas de continuidad y de contingencia, así como al Responsable del proceso
ASSI- Administración de la seguridad de los sistemas informáticos, para su
conocimiento.
ANS-2 Monitorear y reportar el grado de cumplimiento de los niveles de servicio

Descripción Monitorear el grado de cumplimiento de los Acuerdos de nivel de servicio SLA y de
losAcuerdos de nivel operacional OLA, así como elaborar los reportes de resultados
de dicho monitoreo.
servicios de TIC, deberá:
1. Definir las métricas para determinar el grado de cumplimiento de los Acuerdos de nivel
de servicio SLA y de los Acuerdos de nivel operacional OLA.
2. Recabar y revisar los datos para efectuar el cálculo de las métricas.
3. Analizar las mediciones obtenidas.
4. Definir el Reporte de niveles de servicio.
5. Elaborar e integrar, con la información obtenida del factor crítico 3, los Reportes
deniveles de servicio.
ANS-3 Realizar revisiones a los servicios de TIC

Descripción Utilizar los Reportes de niveles de servicio elaborados, para identificar áreas
deoportunidad, existentes o potenciales, entre los niveles de servicio entregados y
loscomprometidos.
Factorescríticos El Asegurador de calidad, con apoyo del Responsable de este proceso, deberá:
1. Revisar y comparar los niveles de servicio comprometidos con los niveles de
servicioreportados.
2. Identificar los hallazgos y tendencias reportados para definir la acción a
ejecutar:reevaluación o mantenimiento de los Acuerdos de nivel de servicio SLA y
losAcuerdos de nivel operacional OLA vigentes.
3. Integrar la información de los factores críticos anteriores en el Reporte de revisión
deservicios, así como las oportunidades de mejora y las no conformidades detectadas.
4. Comunicar al Responsable del proceso APBS- Administración de proveedores debienes
y servicios de TIC, el incumplimiento de los proveedores de servicios de TIC de los
niveles de servicio o niveles operacionales comprometidos.
ANS-4 Establecer el Programa de mejora de servicios de TIC

Descripción Establecer y ejecutar un programa para la mejora de servicios de TIC, en el que
se definan las acciones aplicables a los casos en que no se alcanzaron los niveles
de servicio comprometidos.
Factorescríticos El Asegurador de calidad, con apoyo del Responsable de este proceso, deberá:
1. Establecer, con base en el Reporte de revisión de servicios, el Programa de mejora de
servicios de TIC, el cual deberá incluir al menos:
a) Las no conformidades detectadas; la retroalimentación de las Unidadesadministrativas
solicitantes, la de los Responsables de los procesos de la UTICrelacionados y la de los
Responsables de los servicios de TIC.
b) Las acciones de mejora correspondientes.
c) La calendarización prevista para realizar las acciones de mejora.
d) Los responsables de ejecutar el programa, así como los recursos necesarios para ello.
e) La administración de riesgos en la ejecución de las acciones de mejora previstasen el
programa.
2. Dar seguimiento a la ejecución del Programa de mejora de servicios de TIC, conforme a
lo previsto en la actividad AE-9 del proceso AE- Administración de la evaluación de TIC.
3. Mantener actualizado el Programa de mejora de servicios de TIC.

1.1 "Acuerdo de nivel de servicio SLA", formato sugerido: anexo 22, formato 1.
1.2 "Acuerdo de nivel operacional OLA", formato sugerido: anexo 22, formato 2.
1.3 "Reporte de niveles de servicio", formato sugerido: anexo 22, formato 3.
1.4 "Reporte de revisión de servicios", formato sugerido: anexo 22, formato 4.
1.5 "Programa de mejora de servicios de TIC", formato sugerido: anexo 22, formato 5.

1.1 Responsable del proceso ANS- Administración de niveles de servicio.
1.2 Asegurador de calidad.
1.3 Responsables de los servicios de TIC.
1.4 Unidades administrativas solicitantes
Frecuenciade
cálculo
Resultados Medir Obtener Dimensión:Eficiencia. % de eficiencia El Anual.

delproceso losresultadosdel unamedición Tipo: =(Acuerdos de nivel Responsabledel
ANS- procesoen de laeficiencia deservicio SLA proceso ANS-
Administración términosde delproceso De gestión. cumplidos/Acuerdos Administración
deniveles de sueficiencia. con baseen el de nivel deservicio deniveles de
servicio. número SLAcomprometidos) X servicio.
deAcuerdos 100
denivel de
servicioSLA
cumplidos.
5.9.3 ASSI - Administración de la seguridad de los sistemas informáticos
General:
Establecer mecanismos que permitan la administración de la seguridad de la información de la
Institución,contenida en medios electrónicos y sistemas informáticos, con la finalidad de conservar
su confidencialidad, integridad y disponibilidad.
Específicos:
1. Establecer un sistema de gestión de seguridad que proteja la información de la Institución contenida en
medios electrónicos y sistema informáticos, contra accesos y usos no autorizados.
2. Mantener una mejora continua en el sistema de gestión de seguridad mencionado.
ASSI-1 Diseño del SGSI

Descripción Diseñar, de acuerdo a los requerimientos de seguridad de la información de la
Institución,un sistema de gestión de seguridad que proteja la información contenida en
medioselectrónicos y sistema informáticos.
Factorescríticos El Responsable del SGSI en coordinación con los Responsables de los
procesosde la UTIC, deberán:
1. Seleccionar a los servidores públicos de la UTIC que participará en el diseño del SGSI.
El Responsable del SGSI, con apoyo de los Responsables de los procesos de
laUTIC, deberá:
2. Diseñar el SGSI, considerando lo siguiente:
a) Los límites de protección requeridos desde la perspectiva Institucional, paraproteger
adecuadamente los activos tecnológicos y sistemas informáticos,incluyendo medios
electrónicos de almacenamiento y de comunicación, así como la información contenida
en los mismos.
b) La participación de las unidades administrativas responsables de la
informacióncontenida en medios electrónicos y sistemas informáticos, para determinar
elalcance, riesgos, vulnerabilidades, amenazas e impacto de la seguridad en
lainformación de la Institución.
c) La elaboración de un diagnóstico de los requerimientos de seguridad informáticade la
Institución, con base en los productos identificados en los numerales 1.2 a1.7 del
proceso ARTI- Administración de riesgos de TIC, que defina el valor devalor de los
Activos de TIC e identifique las vulnerabilidades y amenazas a las que puede estar
expuesta la información contenida en medios electrónicos y sistemas informáticos.
d) La elaboración de estrategias de seguridad informática de corto, mediano y largo plazo,
acordes a los principios de integridad, confidencialidad y disponibilidad de la
Información, y que consideren las acciones para enfrentar y mitigar los riesgos de
seguridad de la información, previstas en el Programa de mitigación de riesgos a que se
refiere el numeral 1.5 de la Relación de productos del proceso ARTI- Administración de
riesgos de TIC.
e) La definición de los controles de seguridad de la información y de las accionesque
habrán de observarse para el cumplimiento de las estrategias de seguridadinformática,
y que en su conjunto permitan articular el SGSI.
f) Definir métricas para evaluar el grado de cumplimiento y efectividad de loscontroles y
acciones a que se refiere el inciso anterior.
3. Documentar, con la información de los factores críticos anteriores, el Diseño del SGSI,
así como elaborar el Programa de implantación del SGSI.
El Responsable del SGSI deberá:
4. Integrar el Diseño del SGSI y el Programa de implantación del SGSI en el Documento
de administración del SGSI, y obtener, a través del Titular de la UTIC, la aprobación del
Grupo de trabajo para la dirección de TIC a dicho documento.
5. Actualizar con el Documento de administración del SGSI, el Repositorio
deconfiguraciones previsto en el proceso ACNF- Administración de la configuración.
ASSI-2 Implantar el SGSI

Descripción Implantar los controles de seguridad de la información y las acciones que habrán
deobservarse en la Institución, para el cumplimiento de las estrategias de
seguridadinformática del SGSI.
Factorescríticos El Responsable del SGSI y los Responsables de los procesos de la UTIC,
deberán:
1. Realizar las acciones necesarias para la ejecución del Programa de implantación
delSGSI.
2. Dar seguimiento a la ejecución del Programa de implantación del SGSI, así
comoregistrar sus avances en el propio Programa.
3. Constatar que los controles de seguridad del SGSI operen conforme a lo previsto.
4. Elaborar y difundir al interior de la Institución, el Informe de la implantación del SGSI.
ASSI-3 Evaluar el SGSI

Descripción Realizar la evaluación del SGSI.
Factorescríticos El Responsable del SGSI, con apoyo del Titular de la UTIC, deberá:
1. Conformar un Grupo de trabajo para la seguridad de la información, integrado
porservidores públicos de la UTIC.
El Grupo de trabajo para la seguridad de la información deberá:
2. Efectuar el monitoreo de los controles de seguridad de la información, así como
elseguimiento de las acciones de seguridad informática.
3. Aplicar las métricas definidas en la actividad ASSI- 1, para evaluar el grado
decumplimiento y efectividad de los controles y acciones de seguridad definidos.
4. Identificar y documentar los intentos de violación a los controles de seguridad, asícomo
los incidentes de seguridad, incluidos los accesos no autorizados.
5. Elaborar, con la información que derive de los factores críticos 2, 3 y 4, el Informe
deevaluación del SGSI y entregarlo al Responsable del SGSI.
6. Revisar el Informe de evaluación del SGSI y difundirlo a los Responsables de losdemás
procesos de la UTIC, así como actualizar el Documento de administración delSGSI.
ASSI-4 Mejorar el SGSI

Descripción Mejorar la seguridad de la información contenida en medios electrónicos y
sistemainformáticos, a través de la aplicación de las Acciones de mejora al SGSI.
Factorescríticos El Responsable del SGSI y los Responsables de los procesos de la UTIC,
deberán:
1. Definir Acciones de mejora al SGSI, para fortalecer o sustituir los controles deseguridad
existentes o implantar otros controles.
2. Implementar las Acciones de mejora al SGSI, y darles seguimiento.
3. Documentar las Acciones de mejora al SGSI implementadas.
4. Elaborar el Informe de seguimiento de las acciones de mejora al SGSI y actualizar
elDocumento de administración del SGSI.

1.1 "Diseño del SGSI", formato sugerido: anexo 23, formato 1.
1.2 "Programa de implantación del SGSI", formato sugerido: anexo 23, formato 2.
1.3 "Documento de administración del SGSI", conforme al formato que defina la Institución.
1.4 "Informe de la implantación del SGSI", formato sugerido: anexo 23, formato 3.
1.5 "Informe de evaluación del SGSI", formato sugerido: anexo 23, formato 4.
1.6 "Acciones de mejora al SGSI", formato sugerido: anexo 23, formato 5.
1.7 "Informe de seguimiento de las acciones de mejora al SGSI", formato sugerido: anexo
23,formato 6.

1.1 Grupo de trabajo de seguridad de la información.
1.2 Responsable del SGSI.
1.3 Responsables de los procesos de la UTIC.
Frecuencia de
cálculo
Resultados Medir Medir la Dimensión: Eficien % de eficiencia El Responsable Semestr

delproceso ASSI- laeficiencia d eficiencia del cia. =Número de Acciones delproceso ASSI- al.
Administración el proceso. proceso, media Tipo: de mejora al Administración de la
de la seguridad nte lasmejoras SGSIimplantadas/ Núm seguridad de
de los al SGSI. De gestión. ero de Acciones lossistemas informátic
sistemas informátic de mejora al os.
os. SGSI definidas) X 100

1.1 El Responsable del SGSI es el Responsable de este proceso.
1.2 Los servidores de la UTIC y los usuarios están obligados a operar en un ambiente
detrabajo que garantice la confidencialidad, integridad y disponibilidad de la información,
deacuerdo a lo previsto en el presente Manual.
1.3 El Responsable del SGSI deberá asegurarse de que se integre al SGSI un control
deseguridad para evitar intrusiones a la infraestructura de TIC, incluyendo ataques
externosvía Internet, Intranet o Extranet.
1.4 El Responsable del SGSI deberá asegurarse de que se integren al SGSI, controles
deseguridad en los equipos del ambiente operativo y de comunicaciones de la
Institución,para efectuar la revisión a las bitácoras internas de los mismos, con la finalidad
deidentificar intentos de ataques o la explotación de vulnerabilidades.
1.5 El Responsable del SGSI deberá hacer del conocimiento de las autoridades
competentes,los intentos de violación a los controles de seguridad y los incidentes de
seguridad, incluido el acceso no autorizado a la infraestructura y servicios de TIC y a la
información contenida en éstos, para que se determinen, en su caso, las
responsabilidades que correspondan conforme a las disposiciones jurídicas aplicables.
1.6 El Responsable del SGSI se deberá asegurar que los controles de seguridad que
se hayan establecido para el Repositorio de configuraciones, se implementen de
igual manera, para activos y elementos de configuración de los ambientes de
desarrollo, pruebas y preproducción.
1.7 El Responsable del SGSI se coordinará con los Responsables de los grupos de
procesosPR, AD y TE, para que se implanten controles de seguridad que impidan que el
código delas soluciones tecnológicas, sus componentes y productos, y demás
elementosrelacionados, se copien, envíen, transmitan o difundan por cualquier medio,
con finesdistintos a su desarrollo.
1.8 El Responsable del SGSI se coordinará con los Responsables de los grupos de
procesosPR y AD, para que se implanten controles de seguridad orientados a que
las herramientas para el desarrollo de las soluciones tecnológicas, sus componentes
y productos, únicamente estén disponibles para los involucrados en su desarrollo y a
la conclusión de éste, tales herramientas sean borradas de modo seguro de
cualquier equipo del ambiente de trabajo.
1.9 El responsable del SGSI se deberá asegurar que los controles de seguridad que
se definan en este proceso sean consecuentes con los controles que en materia de
TIC se señalan en el Acuerdo por el que se emiten las Disposiciones en Materia de
Control Interno y se expide el Manual Administrativo de Aplicación General en Materia
de Control Interno.
5.10 AA - ADMINISTRACION DE ACTIVOS
5.10.1 ADT - Administración de dominios tecnológicos
General:
Implantar las arquitecturas de los dominios tecnológicos de acuerdo con los servicios de TIC existentes
yproyectados en la Institución.
Específicos:
1. Definir e instrumentar arquitecturas para cada dominio tecnológico.
2. Proveer directrices tecnológicas a los procesos AO- Administración de la Operación, AAF-Administración
de ambiente físico y MI- Mantenimiento de infraestructura.
3. Establecer un Repositorio de conocimiento de los dominios tecnológicos.
ADT-1 Determinar los dominios tecnológicos

Descripción Determinar agrupaciones lógicas de tecnologías, denominadas dominios, que
conformen la arquitectura tecnológica de la Institución.
Factorescríticos El Responsable de este proceso, con apoyo del Grupo de trabajo de
arquitectura tecnológica, deberá:
1. Determinar y difundir entre el Recurso humano en la UTIC, los dominios
tecnológicosque conformen la arquitectura tecnológica, los cuales podrán ser, entre
otros, losdominios de:
a) Seguridad.
b) Cómputo central y distribuido.
c) Cómputo de usuario final.
d) Comunicaciones.
e) Colaboración y correo electrónico.
f) Internet / Intranet.
g) Aplicativos.
h) Bases de Datos y Datawarehousing.
2. Definir los elementos tecnológicos que formarán parte de los dominios tecnológicos.
ADT-2 Determinar la arquitectura de los dominios tecnológicos

Descripción Diseñar, con base en los requerimientos tecnológicos y directrices de la
arquitecturatecnológica previstas en el Programa de tecnología, la arquitectura
tecnológica existente y proyectada para cada dominio tecnológico.
Factorescríticos Cada Responsable de dominio tecnológico, deberá:
1. Diseñar la arquitectura del dominio tecnológico que le sea asignado, de acuerdo conlos
requerimientos tecnológicos y las directrices rectoras de la dirección
tecnológicadefinidas en el Programa de tecnología. Dicha arquitectura se integrará de
loscomponentes, principios, modelos y estándares del dominio tecnológico.
2. Realizar, al menos una vez al año, un análisis de las fortalezas,
oportunidades,debilidades y amenazas (FODA), de los componentes más relevantes del
dominiotecnológico.
3. Constatar que la arquitectura de cada dominio tecnológico cuente con los
elementosindicados en el factor crítico 1 de esta actividad.
4. Elaborar el documento de Arquitectura de los dominios tecnológicos, en el que seintegre
la arquitectura tecnológica de cada dominio tecnológico.
5. Participar en los trabajos para la actualización del Programa de tecnología de
laInstitución, y aportar para tal efecto la información que derive de los factores críticos 2
y 4.
ADT-3 Administrar la base de conocimiento de los dominios tecnológicos

Descripción Establecer y administrar un Repositorio de conocimiento de los dominios tecnológicos.
1. Diseñar, implantar y mantener actualizado el Repositorio de conocimiento de
losdominios tecnológicos. Para el diseño del repositorio se considerará:
a) La información de la infraestructura de TIC que se encuentre registrada en elRepositorio
de configuraciones.
b) La información sobre las habilidades y conocimiento requeridos para la operación y
administración de cada dominio tecnológico, así como la información sobre los
servidores públicos de la UTIC que cuentan con esas habilidades y conocimiento.
2. Administrar el Repositorio de conocimiento de los dominios tecnológicos, de acuerdocon
lo previsto en el proceso ACNC- Administración del conocimiento.
ADT-4 Revisar los estándares tecnológicos establecidos

Descripción Efectuar revisiones a los estándares tecnológicos establecidos para cada
dominiotecnológico con la finalidad de mantenerlos alineados al Programa de
tecnología.
Factorescríticos Cada Responsable de dominio tecnológico, deberá:
1. Revisar y actualizar, al menos dos veces al año, los estándares tecnológicos y
laarquitectura definida para su dominio tecnológico.
2. Evaluar, con base la información del factor crítico anterior, las arquitecturas yestándares
de los diversos dominios tecnológicos, así como obtener la aprobación adichos
estándares por parte del Grupo de trabajo de arquitectura tecnológica ydifundirlos al
Recurso humano en la UTIC.
3. Coordinar con el Responsable de dominio tecnológico que corresponda, la elaboración
de las propuestas de Dictamen técnico que deban emitirse respecto de las solicitudes
que presenten las áreas o unidades administrativas de la Institución, para la
contratación de bienes o servicios de TIC necesarios para el cumplimiento de sus
funciones, y recabar la firma del Titular de la UTIC.
En dichas propuestas se incluirá la indicación de que el anexo técnico deberáelaborarse
considerando lo previsto en el factor crítico 3 de la actividad ADTI-1, delproceso ADTI-
Administración de las contrataciones de TIC del presente Manual.
4. Proveer información de las arquitecturas de los dominios tecnológicos para:
a) La elaboración de los programas de capacidad, de disponibilidad y de continuidad,
previstos en el proceso DSTI- Diseño de servicios de TIC.
b) La elaboración de los programas de aprovisionamiento y de mantenimiento de
lainfraestructura tecnológica previstos en el proceso MI- Mantenimiento
deinfraestructura.
c) La alineación de la Propuesta de acciones de capacitación de la UTIC, definido en el
proceso APC- Apoyo a la capacitación del personal de la UTIC, con losestándares
tecnológicos definidos en este proceso.

1.1 "Arquitectura de los dominios tecnológicos", formato sugerido: anexo 24, formato 1.
1.2 "Dictamen técnico", formato sugerido: anexo 24, formato 2.
1.3 "Repositorio de conocimiento de los dominios tecnológicos", definido por la Institución.

1.1 Responsable del proceso ADT- Administración de dominios tecnológicos.
1.2 Responsable de dominio tecnológico.
Nombre Objetivo Descripción Clasificación Fórmula Responsable Frecuencia de

cálculo
Revisiones de Obtener la Realizar la Dimensión: % de eficiencia= El Responsable del Semestral.

dominios medición de la medición de las Eficiencia. (Arquitecturas de proceso ADT-
tecnológicos. eficiencia del revisiones Tipo: dominios tecnológicos Administración de
proceso efectuadas a los revisadas/ dominios tecnológicos.
mediante las dominios De gestión. Arquitecturas de
revisiones que tecnológicos. dominios tecnológicos
sean existentes) X 100
efectuadas.

1.1 Cada Responsable de dominio tecnológico deberá analizar y, en su caso,
aprobar cualquier cambio que se solicite en el ambiente operativo de los componentes,
activos y servicios de TIC del dominio tecnológico bajo su responsabilidad.
1.2 El Responsable de dominio tecnológico de comunicaciones deberá propiciar que

losservidores del ambiente operativo se encuentren en segmentos de red definidos,
deacuerdo a la arquitectura y estándares de dicho dominio tecnológico y con los
controles de seguridad necesarios, así como que los componentes de administración y
monitoreo de la infraestructura de TIC, se encuentren en un segmento independiente a
los de los servicios de las áreas usuarias.
1.3 Cada Responsable de dominio tecnológico se deberá asegurar que cuando se realice
laimplantación de nuevos componentes, se atiendan las indicaciones del
fabricante respecto de su utilización y mantenimiento, con la finalidad de no afectar las
condiciones de operación y la garantía correspondiente.
5.10.2 ACNC - Administración del conocimiento

General:
La generación de conocimiento en la UTIC y su difusión entre los servidores públicos de la
misma, mediante el establecimiento, actualización y accesibilidad a un Repositorio de conocimiento.
Específicos:
1. Establecer y mantener actualizado un Repositorio de conocimiento que permita contar con información de
la UTIC, obtenida a través de la práctica cotidiana, del intercambio de conocimientos adquiridos en el
desarrollo de actividades conjuntas o interrelacionadas, así como de la capacitación de sus integrantes con
la finalidad de dar paso a mejores prácticas, de acuerdo a la experiencia y a las lecciones aprendidas.
2. Asegurar la calidad de la información contenida en el Repositorio de conocimiento para que ésta seafuente
de conocimiento.
ACNC-1 Diseñar la estrategia para la administración del conocimiento

Descripción Diseñar una estrategia para la administración del conocimiento generado en la UTIC.
Factorescríticos El Responsable de este proceso, con apoyo del Grupo de trabajo de
arquitectura tecnológica y del Responsable del proceso OSGP- Operación del
sistema de gestión y mejora de los procesos de la UTIC, deberá:
1. Diseñar la estrategia de administración del conocimiento de la UTIC, considerando los
procesos, proyectos, arquitectura tecnológica y servicios de TIC.
2. Definir, con base en la estrategia diseñada en el factor crítico anterior, los elementosdel
conocimiento de la UTIC, utilizando los repositorios implantados en los demásprocesos
del presente Manual.
3. Elaborar el documento Directrices para la administración del conocimiento, queincorpore
líneas de acción para el establecimiento de un Repositorio de conocimiento, así como
para la gobernabilidad del conocimiento contenido en dicho repositorio y en los demás
que se encuentran previstos en el presente Manual, y para la interrelación de los
diferentes repositorios considerando los requerimientos funcionales y no funcionales
que resulten necesarios.
4. Difundir a los Responsables de los procesos en los que se prevea el uso derepositorios,
el documento de Directrices para la administración del conocimiento.
ACNC-2 Diseñar el Repositorio de conocimiento

Descripción Diseñar el Repositorio de conocimiento.
demásprocesos del Manual y del Responsable del repositorio de conocimiento,
deberá:
1. Identificar la información que será considera como información de conocimiento.
2. Diseñar el Repositorio de conocimiento, considerando, entre otros aspectos,
lossiguientes:
a) El conocimiento que permitirá apoyar la toma de decisiones en materia de TIC.
b) El conocimiento que permitirá apoyar el monitoreo de condiciones de Eventos,Incidentes
o Problemas.
c) El tipo de datos de la información de conocimiento que conformará el Repositorio de
conocimiento, así como el uso, estado y localización de los mismos.
d) Los atributos de mayor importancia de la información de conocimiento,considerando los
activos y servicios de TIC con los que dicha información estévinculada.
e) La articulación del conocimiento disponible en los repositorios de los diversosprocesos
de la UTIC.
3. Definir las características que deben tener los datos de la información de conocimiento
para identificarlos con ese carácter e integrarlos al Repositorio de conocimiento.
4. Diseñar el modelo de datos para la interrelación de los diferentes repositorios,conforme
a lo previsto en el factor crítico 3 de la actividad anterior.
5. Definir las vistas de los datos de la información de conocimiento que estarándisponibles,
de acuerdo a los perfiles que se determinen.
6. Documentar el diseño del Repositorio de conocimiento, con el resultado de los factores
críticos anteriores, y establecer dicho repositorio.
ACNC-3 Implantar acciones para el acceso, operación y seguridad del Repositorio

deconocimiento
Descripción Implantar las acciones necesarias para el uso adecuado del Repositorio de conocimiento.
Factorescríticos El Responsable de este proceso, con apoyo del Responsable del proceso OSGP-
Operación del sistema de gestión y mejora de los procesos de la UTIC y
delResponsable del repositorio de conocimiento, deberá:
1. Establecer las acciones que permitan integrar información al Repositorio
deconocimiento, así como indizar aquélla que se localice en los repositorios de
losdiversos procesos de este Manual.
2. Identificar, conforme al ciclo de operación de los procesos y servicios de TIC,
lasactividades en que se prevé la obtención de datos de la información de conocimiento.
3. Definir los perfiles y permisos que se otorgarán a los servidores públicos de la
UTIC,para el acceso a la información de conocimiento contenida en el Repositorio
deconocimiento, en congruencia con lo establecido para los demás repositorios
quecontienen información de conocimiento, así como con los controles de seguridad
delSGSI que resulten aplicables.
ACNC-4 Integrar información de conocimiento al Repositorio de conocimiento y difundirla

Descripción Integrar y actualizar en el Repositorio de conocimiento, la información de
conocimientogenerado en la UTIC.
Factorescríticos El Responsable del repositorio de conocimiento y los servidores públicos de
laUTIC a quienes se les haya otorgado el acceso, deberán:
1. Incorporar, conforme a lo previsto en las actividades anteriores, al Repositorio
deconocimiento, la información de conocimiento respectiva.
2. Actualizar el Repositorio de conocimiento, de acuerdo con lo establecido en los demás
procesos de este Manual.
El Responsable del repositorio de conocimiento, con apoyo de los
servidorespúblicos de la UTIC a quienes se les haya otorgado el acceso, deberá:
3. Incorporar información de conocimiento proveniente de fuentes externas, que
seconsidere de utilidad para incrementar el conocimiento en la UTIC o que permita,
en su caso, su aplicación o adaptación para atender o resolver alguna
problemáticaespecífica.
4. Difundir el conocimiento generado en la UTIC entre los servidores públicos de la misma,
de acuerdo con los perfiles previamente definidos.
ACNC-5 Asegurar la calidad e integridad de la información de conocimiento

Descripción Realizar revisiones para mantener la calidad e integridad de la información
de conocimiento contenida en el Repositorio de conocimiento.
Factorescríticos El Responsable de este proceso, con apoyo del Responsable del
repositorio deconocimiento y del Responsable del proceso OSGP- Operación del
sistema degestión y mejora de los procesos de la UTIC, deberá:
1. Elaborar y ejecutar un programa de trabajo calendarizado para realizar revisiones
alRepositorio de conocimiento, orientadas a mantener la calidad e integridad de
los datos de la información contenida en el mismo, así como para constatar el apego
a las directrices establecidas para la administración del conocimiento.
2. Determinar acciones de mejora derivadas de los hallazgos identificados en lasrevisiones
efectuadas.
3. Verificar que las acciones de mejora determinadas en el factor crítico anterior,
seprogramen y ejecuten conforme al proceso OSGP- Operación del sistema de
gestión y mejora de los procesos de la UTIC.
4. Verificar la efectividad de las acciones de mejora implantadas y registrar losresultados
de la verificación efectuada en el Documento de acciones de mejora.
5. Integrar los resultados de la ejecución de los factores críticos anteriores, en
eldocumento Resultado de revisiones de calidad e integridad de
información deconocimiento.

1.1 "Directrices para la administración del conocimiento", formato sugerido: anexo 25, formato
1.
1.2 "Documento de acciones de mejora", conforme al formato que defina la Institución.
1.3 "Resultado de revisiones de calidad e integridad de información de
conocimiento", formato sugerido: anexo 25, formato 2.
1.4 "Repositorio de conocimiento", definido por la Institución.
1.1 Responsable del proceso ACNC- Administración del conocimiento.
1.2 Responsable del repositorio de conocimiento.
1.4 Responsable del proceso OSGP- Operación del sistema de gestión y mejora de
losprocesos de la UTIC.
Frecuencia de
cálculo
Cumplimiento Determinar el Medir la Dimensión: % de eficiencia= El Responsable del Semestral.

del proceso. grado de eficiencia del Eficiencia. (Número de acciones proceso ACNC-
cumplimiento proceso Tipo: de mejora efectuadas Administración del
del proceso. mediante la / Número de acciones conocimiento.
medición de las De gestión. de mejora
acciones de programadas) X 100
mejora.
5.10.3 APC - Apoyo a la capacitación del personal de la UTIC
General:
Identificar las necesidades de capacitación de los servidores públicos de la UTIC, con el propósito
deproponer ante la unidad administrativa competente las acciones de capacitación que permitan que
losservidores públicos adscritos a la misma, actualicen sus conocimientos y fortalezcan sus habilidades.
Específicos:
1. Proponer acciones de capacitación para los servidores públicos de la UTIC, con base en el
Mapaestratégico de la UTIC, las necesidades de operación de cada dominio tecnológico, así como en
lasnecesidades de desarrollo de los servidores públicos de la UTIC.
2. Colaborar con la unidad administrativa responsable de la capacitación en la Institución, para la ejecución
de las acciones de capacitación a los integrantes de la UTIC.
APC-1 Identificar las necesidades de capacitación de los servidores públicos de la UTIC

Descripción Identificar las necesidades de capacitación de los servidores públicos de la UTIC, con
lafinalidad de actualizar sus conocimientos, habilidades, aptitudes y, en su caso,
fortalecersus actitudes proactivas, de manera que se fomente la colaboración y se
minimicen losconflictos en el desarrollo de los procesos de la UTIC.
Factorescríticos El Responsable del apoyo a la capacitación de la UTIC deberá:
1. Identificar, considerando los objetivos estratégicos de la Institución, el Mapaestratégico
de la UTIC y el Programa de tecnología, los conocimientos, habilidades yaptitudes que
los servidores públicos de la UTIC requieren mantener actualizados para desarrollar las
actividades que les corresponden para la operación de los procesos de este Manual.
2. Identificar con base en el factor crítico anterior, las necesidades de capacitación delos
servidores públicos de la UTIC, y priorizarlas.
3. Integrar, con la información obtenida en los factores críticos anteriores, el documentode
Necesidades de capacitación en la UTIC.
APC-2 Integrar la propuesta de acciones de capacitación

Descripción Elaborar la propuesta de acciones de capacitación de la UTIC, de acuerdo a
laidentificación de necesidades efectuada en la actividad anterior.
Factorescríticos El Responsable del apoyo a la capacitación de la UTIC deberá:
1. Elaborar, con base en el documento de Necesidades de capacitación en la UTIC,
laPropuesta de acciones de capacitación de la UTIC, que incluya un
cronogramaestimado para el desarrollo de dichas acciones.
2. Presentar a consideración del Titular de la UTIC, la Propuesta de acciones
decapacitación de la UTIC.
3. Revisar y, en su caso, aprobar la Propuesta de acciones de capacitación de la UTIC, y
enviarla para su consideración a la unidad responsable de la capacitación en
laInstitución.
El Responsable del apoyo a la capacitación de la UTIC, con apoyo de los
servidores públicos de la UTIC, deberá:
4. Colaborar con la unidad administrativa responsable de la capacitación en la Institución,
en la ejecución de las acciones de capacitación a los integrantes de la UTIC.

1.1 "Necesidades de capacitación en la UTIC", formato sugerido: anexo 26, formato 1.
1.2 "Propuesta de acciones de capacitación de la UTIC", conforme al formato que
defina laInstitución.

1.1 Responsable del proceso APC- Apoyo a la capacitación del personal de la UTIC.
1.2 El Responsable del apoyo a la capacitación de la UTIC.
1.3 Unidad administrativa responsable de la capacitación en la Institución.
Frecuencia
de cálculo
Eficiencia del Obtener una Medir la eficiencia Dimensión: % eficiencia= ( Número de El Responsable del Semestral.
proceso APC- medición de del proceso en Eficiencia. acciones de capacitación proceso APC-
Apoyo a la la eficiencia función de las Tipo: propuestas /Número de Apoyo a la
capacitación del del proceso. acciones de acciones de capacitación capacitación del
personal de la capacitación De gestión. integradas al Programa de personal de la
UTIC. contenidas en la capacitación de la UTIC.
Propuesta de Institución) X 100
acciones de
Capacitación en
la UTIC.

1.1 El Responsable del apoyo a la capacitación de la UTIC es el Responsable de
este proceso.
1.2 El Responsable de este proceso se deberá asegurar que las actividades de este
procesosean consecuentes con las disposiciones relativas a la capacitación de los
servidorespúblicos, previstas en el Acuerdo por el que se emiten las Disposiciones en las
Materias de Recursos Humanos y del Servicio Profesional de Carrera, y se expiden los
ManualesAdministrativos de Aplicación General correspondientes a dichas materias.
5.11 OP OPERACIONES
5.11.1 AO Administración de la operación
General:
Entregar a los Usuarios los servicios de TIC, conforme a los niveles de servicio acordados y con
loscontroles de seguridad definidos.
Específicos:
1. Establecer un mecanismo para administrar y operar la infraestructura y servicios de TIC, de manera que
puedan resistir fallas, ataques deliberados o desastres y, se recuperen los servicios de TIC de manera ágil
y segura.
2. Asegurar la estabilidad y continuidad de la operación de la infraestructura de TIC en la
aplicación decambios y la solución de problemas e incidentes, implantación de soluciones tecnológicas y
nuevosservicios de TIC.
AO-1 Establecer el Mecanismo de operación de TIC

Descripción Establecer las acciones a seguir para la programación, ejecución y seguimiento de
lastareas de la operación de TIC.
Factorescríticos El Responsable de la operación deberá:
1. Desarrollar, implementar y mantener un Mecanismo de operación de TIC que contemple
las acciones a seguir para la programación, ejecución y seguimiento de las tareas de la
operación, considerando al menos, lo siguiente:
a) El cumplimiento de lo establecido en los programas de capacidad, de disponibilidad y de
continuidad.
b) Las tareas de entrega de turno (actividades, estado, actualizaciones finalizadas y en
curso, problemas e incidentes de operación y de mesa de servicios,escalamientos y
reportes sobre tareas relevantes pendientes de ejecutar o enseguimiento).
c) Las actividades rutinarias que se deben ejecutar en cada Activo de TIC, así como las
que, en su caso, se deberán realizar de requerirse algún cambio en lasactividades
habituales.
d) La elaboración de programas de ejecución de tareas para la operación de TIC,conforme
a las necesidades de operación de la infraestructura y servicios de TIC.
e) Los tiempos máximos permitidos para que un Activo de TIC permanezca fuera de
operación, por incidentes en la ejecución de tareas de la operación de TIC.
f) Controles para el registro y seguimiento de Incidentes en la ejecución de tareas de la
operación de TIC.
g) La identificación y aprobación de las salidas de las tareas de la operación de TIC.
h) El manejo de excepciones, Eventos e Incidentes y cambios, así como de controles de
seguridad conforme a los procesos ACMB- Administración de cambios, OMS-
Operación de la mesa de servicios y ASSI- Administración de la seguridad de los
sistemas informáticos.
El Responsable de la operación, con apoyo del Titular de la UTIC, deberá:
2. Definir e implantar, en la medida de lo posible conforme a las necesidades y recursos de
la UTIC, herramientas tecnológicas para notificar y rectificar fallas críticas en las tareas
de la operación, así como para monitorear el estado y operación de los dispositivos
dentro de los límites aceptables, con la finalidad de prevenir fallas en la operación.
AO-2 Programar y ejecutar las tareas de la operación

Descripción Efectuar la programación de las tareas de la operación de TIC, con base en el Mecanismo
de operación de TIC.
1. Elaborar, conforme al Mecanismo de operación de TIC, los programas de ejecución de
tareas para la operación de TIC, que incluyan de manera detallada y calendarizada: las
tareas a desarrollar, por día y turno; el nombre de los responsables; los componentes y
elementos de la configuración involucrados; el manejo de excepciones, Eventos e
Incidentes y cambios.
2. Coordinar la ejecución diaria de las tareas previstas en cada programa de ejecución de
tareas para la operación de TIC que se hubiere elaborado.
Los servidores públicos de la UTIC responsables de la operación, deberán:
3. Ejecutar, de acuerdo a lo previsto en el factor crítico 1 de esta actividad, las
tareascontenidas en el programa de ejecución de tareas para la operación de TIC que
lescorresponda desarrollar y documentarlas en una Bitácora de la operación.
4. Registrar y dar el trámite que corresponda conforme al proceso ACMB- Administración
de cambios, a cualquier Solicitud de cambio que derive de la ejecución de las tareas de
operación.
5. Registrar y dar el trámite que corresponda conforme al proceso OMS- Operación de la
mesa de servicios, a cualquier Solicitud de servicio con motivo de
Incidentes deoperación que derive de la ejecución de las tareas de operación.
El Responsable de la operación deberá:
6. Revisar las Bitácoras de la operación, para constatar que las tareas
ejecutadascoinciden con las tareas programadas.
AO-3 Monitorear la infraestructura de TIC en operación

Descripción Monitorear en los diferentes dispositivos de la infraestructura y de los servicios de TIC,
laejecución de las tareas de la operación, con el propósito de identificar Eventos
paraprevenir o solucionar fallas e Incidentes.

1. Elaborar y mantener un listado de la información de la infraestructura y de los servicios
de TIC cuya operación requiera monitorearse, con base en la información de los datos
de los elementos de configuración correspondientes.
2. Revisar que se registre cualquier tarea ejecutada como parte de la operación, a efecto
de contar con registros que permitan identificar la causa raíz de Incidentes, así como
confirmar la ejecución satisfactoria de las tareas de la operación.
3. Identificar los Eventos que se presenten en la operación de la infraestructura y de
losservicios de TIC, considerando al menos los Eventos siguientes:
a) Alertas relacionadas con niveles máximos y mínimos de operación.
b) Alertas derivada de alguna excepción en la secuencia de las tareas de operación.
c) Alertas por operación o comportamiento inusual.
4. Verificar que se hayan registrado en la Bitácora de la operación, los Incidentes de
laoperación detectados con base en los factores críticos 2 y 3 de esta actividad, en
elmomento en que se presentaron.
5. Dar seguimiento a los Eventos e Incidentes que se presenten en la operación e integrar
en el Repositorio de conocimiento de solicitudes de servicio e incidentes, lainformación
relativa a los mismos, con el propósito de apoyar el análisis para lasolución de
Problemas o la prevención de Incidentes, así como la mejora de las tareas de
operación.
1.1 "Mecanismo de operación de TIC", conforme al formato que defina la Institución.
1.4 "Bitácora de la operación", conforme al formato que defina la Institución.

1.1 Responsable de la operación.
1.2 Los servidores públicos de la UTIC responsables de la operación.
Frecuencia de
cálculo
Incidentes Medir la Obtener el Dimensión: % de eficiencia= El Responsable del Semestral.

en el eficiencia en número de Eficiencia. (Incidentes en la proceso AO-
ambiente el proceso. incidentes en la Tipo: operación resueltos / Administración de
operativo. operación Incidentes que se la operación.
resueltos De gestión. presentaron en el
mediante la ambiente operativo) X
aplicación del 100
Mecanismo de
operación de TIC.
1.1 El Responsable de la operación es el Responsable de este proceso.

1.2 El Responsable de este proceso deberá revisar y, en su caso, aprobar los cambios a
loselementos o componentes del ambiente operativo, provenientes del grupo de
procesos TE.
1.3 El Responsable de este proceso, en coordinación con cada Responsable de

dominiotecnológico, se asegurarán de que los servidores de cómputo de la red
institucional, asícomo los componentes del ambiente operativo que manejen fecha y hora
en sus sistemas operativos, se encuentren sincronizados a la hora oficial para
los Estados Unidos Mexicanos generada por el Centro Nacional de Metrología, en los
husos horariosestablecidos en la Ley del Sistema de Horario en los Estados Unidos
Mexicanos. Para locual harán uso del servicio que proporciona de manera gratuita el
Centro Nacional deMetrología, vía Internet, en la dirección electrónica
http://www.cenam.mx/hora_oficial/sincronia.aspx
5.11.2 AAF Administración de ambiente físico

General:
Implementar en el centro de datos e instalaciones de la UTIC, los controles de seguridad de acuerdo con el
SGSI, a fin de minimizar el impacto a la Institución, por Incidentes o riesgos que se materialicen al interior
del mismo o en su entorno externo.
Específicos:
1. Aplicar controles sobre el ambiente físico en el centro de datos para asegurar la disponibilidad de
losservicios de TIC.
2. Aplicar controles sobre el acceso físico al centro de datos para mantener la integridad física de losequipos
ubicados en éste.
3. Aplicar controles sobre el ambiente físico que constituya el entorno externo del centro de datos y
lasinstalaciones de la UTIC, a fin de protegerlas de vulnerabilidades y riesgos físicos externos.
AAF-1 Diseñar el centro de datos

Descripción Diseñar el centro de datos considerando los requerimientos de infraestructura de TIC
y los recursos de la Institución.
Factorescríticos El Responsable del ambiente físico, con apoyo de los Responsables del grupo
de procesos AS, del Responsable del proceso ARTI- Administración de riesgos de
TIC y del Responsable del SGSI, deberá:
1. Diseñar el centro de datos, considerando al menos lo siguiente:
a) Los requerimientos de infraestructura tecnológica necesaria para proporcionar los
servicios de TIC y para soportar la operación de la Institución.
b) Los controles de seguridad de la información previstos en el SGSI.
c) Los riesgos potenciales y amenazas, así como su impacto en caso dematerializarse.
d) Los riesgos ambientales y su impacto, en atención a su ubicación geográfica.
e) La instalación de dispositivos y equipo especializado para monitorear y controlarlas
alertas asociadas a las condiciones ambientales, así como lasespecificaciones de
operación propias de cada dispositivo y equipo.
2. Integrar, con la información obtenida en el factor crítico anterior, el Documento
deespecificaciones del centro de datos.
AAF-2 Implementar controles de seguridad física en el centro de datos

Descripción Implementar, de acuerdo con el SGSI, los controles de seguridad física en el centro
dedatos, así como para el acceso al propio centro de datos y a los componentes
o elementos del ambiente operativo, ubicados en el mismo.
Factorescríticos El Responsable del ambiente físico, con apoyo del Responsable del procesoARTI-
Administración de riesgos de TIC y del Responsable del SGSI, deberá:
1. Definir un Sistema de seguridad física en el centro de datos, en el que se incorporende
acuerdo con el SGSI, controles de seguridad para:
a) Los riesgos de seguridad física identificados en el proceso ARTI- Administraciónde
riesgos de TIC.
b) Limitar el acceso a la información sensible del centro de datos.
c) Efectuar el retiro, transporte y almacenamiento de Activos de TIC, de formasegura.
d) El borrado seguro de la información de los dispositivos de almacenamiento
fijos,removibles y externos, que sean retirados del ambiente operativo, por daño
oreemplazo.
e) El registro de Incidentes sobre la seguridad del ambiente físico, mediante laSolicitud de
servicio respectiva.
El Responsable del ambiente físico deberá:
2. Integrar al Sistema de seguridad física en el centro de datos a que se refiere el
factorcrítico anterior, los controles de seguridad que de acuerdo con el SGSI se
requieranpara el acceso físico a las áreas reservadas de la UTIC, que deberán
considerar almenos los siguientes accesos:
a) Normal u ordinario.
b) Restringido.
c) Entrada o salida en caso de emergencia.
d) A equipos con datos sensibles.
3. Integrar al Sistema de seguridad física en el centro de datos, a que se refiere el factor
crítico 1, los controles de seguridad que de acuerdo con el SGSI sean necesarios para
hacer frente a los riesgos ambientales, considerando para ello:
a) Los riesgos por fenómenos naturales, identificados en el proceso ARTI-Administración
de riesgos de TIC.
b) Los activos de TIC, incluyendo el equipo móvil y el que esté fuera del centro dedatos.
c) Los dispositivos que detectan amenazas ambientales, para responder a lasalarmas y a
otras notificaciones.
4. Difundir al interior de la UTIC los controles de seguridad implementados y verificar
sucumplimiento.
AAF-3 Administrar las instalaciones físicas del centro de datos

Descripción Asegurar que el centro de datos y las instalaciones de la UTIC operen en un
ambientefísico adecuado y controlado.
Factorescríticos El Responsable del ambiente físico deberá:
1. Verificar que los componentes o elementos del ambiente operativo en los centros
dedatos se mantengan operando conforme a sus especificaciones.
2. Verificar que se apliquen los controles de seguridad establecidos conforme a
lasactividades anteriores.
3. Registrar los Incidentes del ambiente físico que se presenten y administrarlos hasta su
solución, por medio de una Solicitud de servicio o de una Solicitud de cambio.
4. Llevar a cabo la instalación y puesta en operación de los equipos adquiridos
paraatender los requerimientos de Activos de TIC y las necesidades
de aprovisionamiento de la infraestructura tecnológica, contenidos en los
programas de aprovisionamiento y de mantenimiento de la infraestructura tecnológica.
5. Analizar y evaluar los Eventos, Incidentes, vulnerabilidades y riesgos materializadosen
el centro de datos e implementar, cuando corresponda, acciones de mejora.
1.1 "Documento de especificaciones del centro de datos", conforme al formato que defina
laInstitución.
1.2 "Sistema de seguridad física en el centro de datos", conforme al formato que defina
laInstitución.

1.1 Responsable del ambiente físico.
Frecuencia
de cálculo
Cumplimiento del Medir el Medir la Dimensión: % de eficiencia= El Responsable del Semestral.

proceso AAF- cumplimiento eficiencia del Eficiencia. (Controles de proceso AAF-
Administración de del proceso. proceso, Tipo: seguridad evaluados / Administración de
ambiente físico. mediante el Controles de seguridad ambiente físico.
número de De gestión. implantados) X 100
controles de
seguridad
evaluados.

1.1 El Responsable del ambiente físico es el Responsable de este proceso.
1.2 El Responsable de este proceso se deberá asegurar que se realicen oportunamente
lasevaluaciones, para determinar la efectividad de los controles de
seguridad implementados.
5.11.3 MI Mantenimiento de infraestructura
General:
Mantener actualizada la infraestructura tecnológica para garantizar la continuidad de los servicios de TIC.
Específicos:
1. Establecer un Programa de aprovisionamiento de la infraestructura tecnológica, alineado a la planeación
estratégica de TIC, a los Acuerdos de niveles de servicio SLA y a los controles de seguridad del SGSI.
2. Establecer un Programa de mantenimiento de la infraestructura tecnológica que contribuya a alcanzarlos
niveles de capacidad y de continuidad necesarios para cumplir los Acuerdos de niveles de servicioSLA
establecidos.

MI-1 Elaborar y dar seguimiento al Programa de aprovisionamiento de la

infraestructura tecnológica
Descripción Elaborar y dar seguimiento al Programa de aprovisionamiento de la
infraestructuratecnológica, para mantener la continuidad de la operación de los servicios
de TIC.
Factorescríticos El Responsable del mantenimiento de la infraestructura, con apoyo
delResponsable del proceso ADT- Administración de dominios tecnológicos y de
los Responsables de los procesos AO- Administración de la Operación y AAF-
Administración de ambiente físico, deberá:
1. Elaborar un Programa de aprovisionamiento de la infraestructura tecnológica, el
cualcontendrá al menos:
a) La justificación de los componentes incluidos, con base en los servicios de TICque
soportará o complementará.
b) La estimación de costos, beneficios, vida útil, disponibilidad de soporte técnico y/o
mantenimiento, permanencia en el mercado, apego a estándares tecnológicos,entre
otros.
c) La fecha estimada en que se requerirá contar con cada componente.
2. Obtener del Grupo de trabajo para la dirección de TIC la aprobación del Programa
deaprovisionamiento de la infraestructura tecnológica, y enviarlo al Responsable
delproceso APT- Administración del presupuesto de TIC para su
trámite correspondiente.
El Responsable del mantenimiento de la infraestructura deberá:
3. Dar seguimiento al avance del Programa de aprovisionamiento de la
infraestructuratecnológica.
4. Efectuar revisiones periódicas a la infraestructura tecnológica e identificar las posibles
actualizaciones o mejoras a la misma, para efectos de que sean incluidas al Programa
de aprovisionamiento de la infraestructura tecnológica, previo cumplimiento de los
factores críticos 1 y 2.
5. Evaluar los resultados del Programa de aprovisionamiento de la
infraestructuratecnológica.
MI-2 Mantener los recursos de infraestructura tecnológica y su disponibilidad

Descripción Elaborar, ejecutar y dar seguimiento al Programa de mantenimiento de la
infraestructuratecnológica, así como implementar controles de seguridad durante la
configuración,instalación y mantenimiento de componentes a dicha infraestructura para
mantener sudisponibilidad.
Factorescríticos El Responsable del mantenimiento de la infraestructura deberá:
1. Elaborar un Programa de mantenimiento de la infraestructura tecnológica que contenga
acciones de carácter preventivo para evitar fallas a los componentes de dicha
infraestructura, y difundirlo a los Responsables de los procesos del grupo AR y al
Responsable del proceso ACMB- Administración de cambios.
2. Implementar, en la realización de las tareas de instalación y mantenimiento de
lainfraestructura tecnológica, los controles de seguridad del SGSI que
consideren,cuando menos:
a) La protección de los componentes que serán instalados o que recibiránmantenimiento.
b) Efectuar el respaldo y protección de los datos almacenados en la
infraestructuratecnológica, así como del software que se encuentre instalado.
c) Verificar el ambiente de desarrollo y pruebas sea el adecuado para efectuar lastareas de
instalación o de mantenimiento a la infraestructura tecnológica.
d) Verificar que el ambiente de desarrollo y pruebas a que se refiere el incisoanterior esté
separado del ambiente operativo.
e) Comprobar la funcionalidad, seguridad, disponibilidad e integridad de loscomponentes
instalados o en mantenimiento, con el propósito de que operenadecuadamente y se
cumpla con los Acuerdos de niveles de servicio SLAestablecidos.
f) Modificar, en los componentes instalados, las contraseñas originales,configuraciones y
parámetros que puedan afectar la seguridad y suprimir losaccesos temporales utilizados
en la instalación.
g) Verificar que la instalación de software se efectúe de acuerdo con lasespecificaciones
del mismo y que cualquier desviación sea identificada paraevaluar su impacto.
3. Evaluar la efectividad de los controles de seguridad aplicados en la instalación de
loscomponentes y en las tareas de mantenimiento.
4. Aplicar los controles de mitigación de riesgos establecidos en el proceso ARTI-
Administración de riesgos de TIC, relativos a componentes de infraestructura.
5. Verificar que el Programa de mantenimiento de la infraestructura tecnológica seejecute
por medio de una Solicitud de cambio conforme al proceso ACMB-Administración de
cambios, y registrar las tareas realizadas en una Bitácora demantenimiento de
infraestructura.
6. Registrar y dar seguimiento a los Incidentes de mantenimiento, por medio de
unaSolicitud de servicio conforme al proceso OMS- Operación de la mesa de
servicios,con el propósito de analizar y eliminar las vulnerabilidades dentro de
la infraestructura tecnológica.
7. Informar de los Incidentes de mantenimiento al Grupo de trabajo de
arquitecturatecnológica, al Responsable del proceso AO- Administración de la operación
y a losResponsables de los dominios tecnológicos involucrados.
MI-3 Efectuar pruebas de factibilidad a componentes de infraestructura y de

soluciones tecnológicas
Descripción Establecer y operar un ambiente de pruebas para componentes de infraestructura y
desoluciones tecnológicas.
Factorescríticos El Responsable del mantenimiento de la infraestructura deberá:
1. Diseñar el ambiente que permita la creación y simulación de pruebas de concepto
yprototipos para verificar la viabilidad de componentes de infraestructura y desoluciones
tecnológicas.
2. Establecer y mantener el ambiente diseñado.
3. Efectuar en el ambiente a que se refiere esta actividad, las pruebas de factibilidad
acomponentes de infraestructura y de soluciones tecnológicas.
4. Documentar, el resultado de las pruebas realizadas conforme al factor crítico anterior,
en la Bitácora de resultados de pruebas de factibilidad.
1.1 "Programa de aprovisionamiento de la infraestructura tecnológica", formato
1.2 "Programa de mantenimiento de la infraestructura tecnológica", formato sugerido:

anexo 27, formato 2.
1.5 "Bitácora de mantenimiento de infraestructura", conforme al formato que defina
laInstitución.
1.6 "Bitácora de resultados de pruebas de factibilidad", conforme al formato que defina

laInstitución.

1.1 Responsable del mantenimiento de la infraestructura.
Frecuencia de
cálculo
Cumplimiento del Obtener una Medir los Dimensión: % de eficiencia= El Responsable Semestral.
proceso MI- medición de resultados de las Eficiencia. (Número de acciones del proceso MI-
Mantenimiento las actividades actividades de Tipo: cumplidas del Mantenimiento de
de de mantenimiento, Programa de infraestructura.
infraestructura. mantenimiento. por medio de las De gestión.
mantenimiento de la
acciones infraestructura
efectuadas. tecnológica / Número
de acciones previstas
en el Programa de
mantenimiento de la
infraestructura
tecnológica) X 100

1.1 El Responsable del mantenimiento de la infraestructura es el Responsable de este proceso.
5.12 Documentación soporte a los procesos del presente Manual

1.1 Los formatos sugeridos en el apartado Relación de productos de los procesos del
presenteManual, se encuentran disponibles en la página electrónica
siguiente:www.normateca.gob.mx/
1.2 Diagramas de flujo de información. Se encuentran disponibles en la página

electrónicasiguiente: www.normateca.gob.mx/
1.3 Diagramas de flujos de actividades. Se encuentran disponibles en la página

electrónicasiguiente: www.normateca.gob.mx/
1.4 Notación utilizada en los diagramas de flujo de información y de actividades. Se
encuentradisponible en la página electrónica siguiente: www.normateca.gob.mx/
_______________________
DOF: 29/11/2011
ACUERDO por el que se reforma y adiciona el diverso por el que se establecen las disposiciones administrativas
enmateria de tecnologías de la información y comunicaciones, y se expide el Manual Administrativo de
AplicaciónGeneral en esa materia y en la de Seguridad de la Información.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría
de Gobernación.- Secretaría de la Función Pública.
ALEJANDRO ALFONSO POIRE ROMERO, Secretario de Gobernación, y SALVADOR VEGA
CASILLAS, Secretario de la Función Pública, con fundamento en lo dispuesto en los artículos 27, fracciones
XII, XXIX y XXXII; 37, fracciones VI y XXVI de la Ley Orgánica de la Administración Pública Federal; 12
fracciones II y VII, 18 y 55 de la Ley de Seguridad Nacional; 10, 11 y 24, fracción VII del Reglamento para la
Coordinación de Acciones Ejecutivas en materia de Seguridad Nacional; 1 y 5, fracciones XIX, XXII, XXIV y
XXXII del Reglamento Interior de la Secretaría de Gobernación; 1 y 6, fracciones I y XXIV del Reglamento
Interior de laSecretaría de la Función Pública, y
CONSIDERANDO
Que en cumplimiento a la instrucción del Ejecutivo Federal, para que la Secretaría de la Función
Pública emitiera, por sí o con la participación de las dependencias competentes, disposiciones, políticas o
estrategias, acciones o criterios de carácter general y procedimientos uniformes para la Administración
Pública Federal y, en lo conducente, para la Procuraduría General de la República, en materia, entre otras, de
tecnologías de la información y comunicaciones, el 13 de julio de 2010 se publicó en el Diario Oficial de la
Federación el Acuerdo por el que se expidió el Manual Administrativo de Aplicación General en Materia de
Tecnologías de la Información y Comunicaciones y que contiene disposiciones administrativas en la materia;
Que el artículo octavo del Acuerdo que alude el considerando anterior, prevé que los procesos
y procedimientos previstos en el respectivo Manual deberán revisarse, para efectos de sus actualización
cuando menos una vez al año, motivo por el cual se publicó en el Diario Oficial de la Federación el 6 de
septiembre pasado, el Acuerdo por el que se modifica el diverso por el que se expide el Manual Administrativo
de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones;
Que en la actualidad, y en virtud del desarrollo y utilización cada vez mayor de las tecnologías de
la información y comunicaciones en la operación de los diferentes trámites y servicios públicos que
proporciona la Administración Pública Federal, reviste particular importancia el establecimiento de procesos
uniformes y de acciones y medidas coordinadas en materia de seguridad de la información, que permitan a
partir de la identificación de la infraestructura de tecnologías de la información y comunicaciones y de aquélla
otra vinculada o asociada con ésta que se considere crítica, fortalecer la gestión de la seguridad de la
información, para lograr el uso seguro de equipos y servicios, así como una respuesta oportuna ante
situaciones deemergencia, y contribuir a la seguridad de la nación ante amenazas materializadas a través del
uso de tecnologías de la información y comunicaciones;
Que el Programa para la Seguridad Nacional 2009-2012, en su objetivo específico
1. "Fortalecer estructuralmente el sistema de seguridad nacional", en su línea estratégica 1.2. "Establecer un
sistema integral de información para la preservación de la seguridad nacional", prevé como una de sus líneas
de acción, la 1.2.4., "Desarrollar instrumentos y tecnología que garanticen la protección y confidencialidad de
la información de seguridad nacional, así como su transmisión segura";
Que el Ejecutivo Federal acordó en el seno del Consejo de Seguridad Nacional, diversos
lineamientos generales de seguridad de la Información; y su incorporación en el Acuerdo y en el Manual
Administrativo de Aplicación General en materia de Tecnologías de la Información y Comunicaciones;
Que en la definición de los procesos, acciones y medidas que en materia de seguridad de la
información se contempla incorporar en las disposiciones del Acuerdo y del Manual en materia de tecnologías
de la información y comunicaciones, ha tenido una participación preponderante el Grupo Técnico
Intersecretarial Especializado en Seguridad de la Información establecido por el Consejo de Seguridad
Nacional con objeto de coordinar los trabajos para el desarrollo de una política general de seguridad de la
información, hemos tenido a bien expedir el siguiente
ACUERDO
ARTICULO PRIMERO.- Se REFORMAN los Artículos Primero, en su primer párrafo; Segundo;
Cuarto; Quinto; Sexto, en su primer párrafo; Séptimo y Octavo; y se ADICIONA el Capítulo III Bis y sus
artículos Sexto Bis y Sexto Ter al Acuerdo por el que se expide el Manual Administrativo de Aplicación
General en Materia de Tecnologías de la Información y Comunicaciones, para quedar como sigue:
"Artículo Primero.- El presente Acuerdo tiene por objeto establecer las disposiciones administrativas en
materia de tecnologías de la información y comunicaciones y de seguridad de la información, que deberán
observar las dependencias y entidades de la Administración Pública Federal y la Procuraduría General de la
República, así como expedir el Manual Administrativo de Aplicación General en Materia de Tecnologías de la
Información y Comunicaciones y de Seguridad de la Información, que en términos del Anexo Unico de este
Acuerdo, forma parte integrante del mismo.
...
Artículo Segundo.- Para los efectos del presente Acuerdo, se entiende por:
I. Centro: el Centro de Investigación y Seguridad Nacional;
II. Dependencias: las secretarías de Estado, incluyendo a sus órganos administrativos desconcentrados y la
Consejería Jurídica del Ejecutivo Federal, así como las unidades administrativas de la Presidencia de la
República, conforme a lo dispuesto en la Ley Orgánica de la Administración Pública Federal. La Procuraduría
General de la República será considerada con este carácter en lo que el presente Acuerdo y el Manual
Administrativo de Aplicación General en Materia de Tecnologías de la Información y Comunicaciones y de
Seguridad de la Información, le resulten aplicables conforme a lo previsto en su Ley Orgánica;
III. Diseminación: la transmisión o entrega de información considerada de seguridad nacional, a quienes
cumplan con los requisitos para conocer esa información, de acuerdo con el nivel de acceso autorizado;
IV. Entidades: los organismos públicos descentralizados, empresas de participación estatal mayoritaria y
fideicomisos públicos que en términos de la Ley Orgánica de la Administración Pública Federal y de la Ley
Federal de las Entidades Paraestatales, sean considerados entidades de la Administración Pública Federal
Paraestatal;
V. Infraestructura de TIC: el hardware, software, redes e instalaciones requeridas para desarrollar, probar,
proveer, monitorear, controlar y soportar los servicios de TIC;
VI. Instancias de seguridad nacional: las Instituciones o autoridades que en función de sus atribuciones
participen directa o indirectamente en la seguridad nacional, conforme a lo dispuesto en la fracción II del
artículo 6 de la Ley de Seguridad Nacional, incluidas aquéllas que tengan reconocido dicho carácter por
Acuerdo tomado en el seno del Consejo de Seguridad Nacional;
VII. Manual: el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información y
Comunicaciones y de Seguridad de la Información;
VIII. Seguridad de la información: la capacidad de preservar la confidencialidad, integridad y disponibilidad de la
información, así como la autenticidad, confiabilidad, trazabilidad y no repudio de la misma;
IX. Seguridad nacional: las acciones destinadas de manera inmediata y directa a mantener la integridad,
estabilidad y permanencia del Estado Mexicano, en términos de lo dispuesto en el artículo 3 de la Ley de
Seguridad Nacional;
X. TIC: las Tecnologías de la Información y Comunicaciones, y
XI. Unidad: la Unidad de Gobierno Digital de la Secretaría de la Función Pública.
Artículo Tercero.- ...
Artículo Cuarto.- Los titulares de las dependencias y entidades, en el ámbito de sus respectivas atribuciones,
instruirán lo conducente para que se dejen sin efecto los acuerdos, normas, lineamientos, oficios circulares y
demás disposiciones o procedimientos de carácter interno que se hubieren emitido en materia de TIC y de
seguridad de la información que no deriven de facultades expresamente previstas en leyes y reglamentos.
Artículo Quinto.- La aplicación de las disposiciones contenidas en el presente Acuerdo y el Manual,
corresponde a las áreas o unidades administrativas responsables de las TIC en las dependencias y entidades,
así como a los servidores públicos cuyas atribuciones o funciones se vinculen con las TIC y con la seguridad
de la información.
Artículo Sexto.- Con el propósito de armonizar y homologar las actividades que en materia de TIC y de
seguridad de la información realizan las dependencias y entidades, en el Manual se identifican los procesos
correspondientes que se regirán por lo dispuesto en las disposiciones jurídicas aplicables y el propio Manual.
...
Capítulo III Bis
Disposiciones específicas para la seguridad de la información considerada de seguridad nacional
Artículo Sexto Bis.- Las Instancias de seguridad nacional deberán observar las disposiciones específicas
siguientes:
I. La información relacionada con la seguridad nacional, generada o custodiada, que pretendan diseminar,
deberá identificarse previamente, mediante la asignación de alguno de los niveles de diseminación que a
continuación se indican:
a) "AAA": se asignará este nivel cuando se trate de información requerida para el proceso de decisiones políticas
fundamentales, cuya revelación no autorizada pueda dañar la integridad, estabilidad o permanencia del
Estado mexicano;
b) "AA": este nivel se asignará a la información resultante del ejercicio de las atribuciones de las Instancias de
seguridad nacional y de sus servidores públicos, cuya revelación no autorizada pueda actualizar o potenciar
un riesgo o amenaza a la seguridad nacional en términos de la Ley de Seguridad Nacional, o
bien, comprometer la operación de las propias Instancias, las condiciones deseguridad de sus instalaciones o
la integridad física de su personal, y
c) "A": se asignará este nivel a aquella información que derive del cumplimiento de las disposiciones jurídicas en
materia de ejercicio del gasto, transparencia y rendición de cuentas, cuya revelación no autorizada pueda
comprometer la operación de las Instancias de seguridad nacional, las condiciones de seguridad de sus
instalaciones o la integridad física de su personal;
II. Asegurarse de que el destinatario de la información que se pretende diseminar tenga la necesidad de conocer
de la misma, por ser el destinatario expreso de la información con motivo de las facultades conferidas por
virtud de su empleo, cargo o comisión, relación contractual o de cualquier otra naturaleza, en términos de la
normativa aplicable y de acuerdo con el nivel de diseminación que le corresponda, en razón de su jerarquía o
nivel jerárquico, o bien conforme al nivel de privilegio asignado;
III. Al diseminar la información identificada conforme a los niveles señalados en la fracción I, deberán asegurarse
que aquélla que se contenga en medios magnéticos, ópticos o electrónicos, cuente al menos, con las medidas
de protección siguientes:
a) Se incluya una carátula al inicio del documento, con la leyenda relativa al nivel de diseminación asignado, así
como el nombre y cargo del destinatario.
La leyenda a que se refiere el párrafo anterior se contendrá en cada una de las partes que integren el
documento electrónico, en formato de fondo de agua, siempre que el documento lo permita, y en el centro del
mismo;
b) El documento electrónico deberá diseminarse en un formato de archivo que no permita su edición o
manipulación y protegido de origen contra la impresión o copiado no autorizados ni parcial o totalmente de su
contenido;
c) Se utilizarán mecanismos de firma electrónica y cifrado de llave pública y privada, que permitan la
diseminación de la información únicamente al destinatario autorizado al que esté dirigida;
d) Solicitar a los destinatarios la promesa de confidencialidad a que se refiere el artículo 53 de la Ley de
Seguridad Nacional, y verificar su registro ante el Centro;
e) Comunicar a los destinatarios sobre la responsabilidad que éstos adquieren al recibir la información a que se
refiere este artículo, por lo que estarán obligados a:
i) Acusar de recibido al remitente, utilizando los mismos mecanismos de firma electrónica y cifrado de llave
pública y privada, así como abstenerse de
compartir las llaves privadas;
ii) Resguardar la información que reciban en repositorios de información cifrados y controlados con mecanismos
de autenticación para usuarios autorizados y, en los cuales, se lleve un registro sobre los accesos a
la información contenida en los mismos, y
iii) Abstenerse de efectuar reproducciones totales o parciales de los documentos electrónicos, sin la previa
autorización de la Instancia de seguridad nacional remitente, y
f) Las demás medidas de protección que, de acuerdo a los riesgos y amenazas identificados, el Centro
considere necesario adoptar;
IV. Asegurarse que la información identificada conforme a los niveles señalados en la fracción I, contenida en
medios impresos que provengan de Infraestructura de TIC, cuente para efectos de su diseminación, como
mínimo, con las medidas de protección señaladas en los incisos a), d) y f) de la fracción anterior, y con las
siguientes:
a) Contenerse en sobre cerrado y sellado, cuyo trasladado será a cargo de servidores públicos de la Instancia de
que se trate, para su entrega de manera personal al destinatario. En la medida de lo posible, en cada traslado
se remitirá solamente un documento o pieza de información, y
b) Comunicar a los destinatarios sobre la responsabilidad que éstos adquieren al recibir la información a que se
refiere este artículo, por lo que estarán obligados a:
i) Firmar el acuse de recibo correspondiente, haciendo constar hora y fecha de recepción, así como la integridad
del sobre recibido, registrando al efecto, que no existan indicios de violación o cualquier otra irregularidad;
ii) Mantener resguardada la información en área cerrada y dentro de mobiliario provisto de cerradura, caja de
seguridad o estructura de seguridad equivalente, y
iii) Abstenerse de efectuar reproducciones totales o parciales de la información recibida, sin la previa autorización
de la Instancia de seguridad nacional remitente, y
V. Realizar las acciones necesarias para contener la circulación de información diseminada, que sea revelada sin
autorización, con independencia de que se promuevan las responsabilidades que, en su caso, procedan.
Las dependencias y entidades que, aún sin tener el carácter de Instancia de seguridad nacional, generen o
sean destinatarias de información considerada de seguridad nacional, deberán observar lo establecido en este
artículo en los casos en que compartan o transmitan dicha información.
Lo dispuesto en este artículo se aplicará sin perjuicio de lo establecido en la Ley Federal de Trasparencia y
Acceso a la Información Pública Gubernamental y demás disposiciones aplicables.
Artículo Sexto Ter.- Las dependencias y entidades deberán comunicar al Centro, los datos de los servidores
públicos que designen como Responsables de la seguridad de la información; así como de los enlaces
responsables de mantener comunicación con los Equipos de respuesta a incidentes de seguridad en TIC,
para efectos de su registro.
Artículo Séptimo.- La interpretación del presente Acuerdo y del Manual, para efectos administrativos, así
como la resolución de los casos no previstos en el mismo, corresponderá:
I. En materia de TIC y de seguridad de la información, a la Secretaría de la Función Pública, por conducto de la
Unidad.
II. En materia de seguridad de la información considerada de seguridad nacional, a la Secretaría de
Gobernación, a través del Centro.
Artículo Octavo.- Las disposiciones y los procesos contenidos en el Manual a que se refiere el presente
Acuerdo deberán revisarse por las autoridades a que se refiere el artículo anterior, cuando menos una vez al
año para efectos, en su caso, de su actualización.
Artículo Noveno.- ..."
ARTICULO SEGUNDO.- Se REFORMAN la denominación del Anexo Uno; diversos numerales

del Contenido; diversos términos y definiciones contenidos en el numeral 1, denominado "Definiciones
y acrónimos"; los numerales 2 a 5; 5.1, en su denominación; 5.1.1.1; 5.1.1.2.1 en su actividad EMG-3,
factor crítico 4; 5.1.1.4, en los numerales 1.2 a 1.4 de las reglas del proceso; 5.2, en su denominación y en
sus procesos 5.2.1 ASI Administración de la seguridad de la información y 5.2.2, OPEC Operación de
controles de seguridad de la información y del ERISC; 5.4.1.2.1, en su actividad OSGP-2, factores críticos 1 y
2, inciso b); 5.5.1.2.1, en su actividad APT-3, en lo relativo al responsable de los factores críticos de la
misma; 5.5.2.2.1, en su actividad ADTI-1, en lo relativo al responsable de los factores críticos 1 y 2; 5.6.2.2.1,
en sus actividades DSTI-1, factores críticos 10 y 16, DSTI-4, en lo relativo al responsable de los factores
críticos de la misma; DSTI-5, en lo relativo a su responsable y factor crítico 2, inciso a); 5.8.4.2.1, en su
actividad ACNF-5, factor crítico 4; 5.9.2.2.1, en su actividad ANS-1, factor crítico 8; 5.11.1.2.1, en su actividad
AO-1, factor crítico 1, inciso h); 5.11.2.2.1, en sus actividades AAF-1, en lo relativo al responsable de los
factores críticos, AAF-2, en lo relativo al responsable del factor crítico 1 y en su inciso a), factor crítico 3, inciso
a); 5.11.3.2.1, en su actividad MI-2, factores críticos 2, inciso g) y 4; se DEROGAN los numerales 5.9.3 a
5.9.3.4; y se ADICIONANen el numeral 1, denominado "Definiciones y acrónimos", diversos términos en el
orden alfabético que les corresponde; en el numeral 5.1.1.2.1, actividad EMG-3, los factores críticos 5 y
6, recorriéndose el actual factor crítico 5 para pasar a ser el 7; los numerales 5.1.4 a 5.1.4.4; en el
numeral 5.11.2.2.1, un inciso e) en el factor crítico 2, de la actividad AAF-2; en el numeral 5.11.3.2.1, un inciso
h) en el factor crítico 2 de la actividad MI-2; todos del Manual Administrativo de Aplicación General en materia
de Tecnologías de la Información y Comunicaciones, para quedar como sigue:
"ANEXO UNICO
MANUAL ADMINISTRATIVO DE APLICACION GENERAL EN MATERIA DE TECNOLOGIAS DE LA
INFORMACION Y COMUNICACIONES Y DE SEGURIDAD DE LA INFORMACION
CONTENIDO
1a4 ...
5 PROCESOS EN MATERIA DE TIC Y DE SEGURIDAD DE LA INFORMACION
5.1 DR - DIRECCION Y CONTROL DE TIC
5.1.1 a
5.1.3.4 ...

5.2 DCSI - DIRECCION Y CONTROL DE LA SEGURIDAD DE LA INFORMACION
5.2.1 ASI - Administración de la seguridad de la información
5.2.1.1 a
5.2.1.4 ...
5.2.2 OPEC - Operación de los controles de seguridad de la información y del ERISC
5.2.2.1 a
5.9.2.3 ...
5.9.3 a
5.9.3.4 Derogado
5.10 a ...
5.12
1. DEFINICIONES Y ACRONIMOS
Para efectos de este Manual se entenderá por:
TERMINO DEFINICION
Activo de información El Activo de información que resulta esencial o estratégico para la operación
clave: y/oel control de una Infraestructura crítica o incluso de una que no tenga
estecarácter, pero cuya destrucción, perdida, alteración o falla tendría un
graveimpacto o consecuencia en la funcionalidad de la infraestructura o en
losservicios que soporta.
Activo primario: El Activo de información asociado a las funciones sustantivas de una Institución.
Activos de proceso: ...
Activos de Toda aquella información y medio que la contiene, que por su importancia y
información: elvalor que representa para la Institución, deben ser protegidos para mantener
suconfidencialidad, disponibilidad e integridad, acorde al valor que se le otorgue.
Activos de TIC: Los programas de cómputo, bienes informáticos, soluciones

tecnológicas,sistemas o aplicativos, sus componentes, las bases de datos o
archivoselectrónicos y la información contenida en éstos.
Activo de soporte: Aquél que apoya o complementa a un Activo primario en su función.
Acuerdo de nivel de ...

servicio SLA:
Acuerdo de nivel El acuerdo de nivel operacional entre los responsables de los

operacional OLA: diversoscomponentes de la arquitectura tecnológica de un servicio de TIC, que
se debendefinir y cumplir para responder a los Acuerdos de nivel de servicio
SLAcomprometidos (Operational Level Agreement por sus siglas en inglés).
Ambiente de trabajo: ...
Amenaza: Cualquier posible acto que pueda causar algún tipo de daño a los Activos
deinformación de la Institución.
Análisis de riesgos: El uso sistemático de la información para identificar las fuentes

devulnerabilidades y amenazas a los Activos de TIC, a la Infraestructura crítica o
alos Activos de información; efectuar la evaluación de su magnitud o impacto
yestimar los recursos necesarios para eliminarlas o mitigarlas.
Area técnica: ...

Bitácora de seguridad: El registro continúo de eventos e incidentes de seguridad de la información
queocurren a los Activos de información.
Centro de datos: El lugar físico en el que se ubican los Activos de TIC, desde donde se
proveenlos servicios de TIC.
Confidencialidad
a ...
Cuadro de mando
integral de la UTIC:
Declaraciones El documento que contiene los controles aplicados mediante el SGSI de

deaplicabilidad: laInstitución como resultado del Análisis de riesgos.
Directriz rectora: ...
Diseminación: La transmisión o entrega de información considerada de seguridad nacional,

aquienes cumplan con los requisitos para conocer esa información, de
acuerdocon el nivel de acceso autorizado.
Disponibilidad a ...
Entregable:
Evento: Suceso que puede ser observado, verificado y documentado, en forma manual
oautomatizada, que puede llevar al registro de incidentes.
Funcionalidad: ...
Gestión de riesgos: La identificación, valoración y ejecución de acciones, para el control

yminimización de los riesgos que afecten a los Activos de TIC, a la
Infraestructuracrítica o a los Activos de información de la Institución.
Gobierno digital: ...
Impacto: El grado de los daños y/o de los cambios sobre un Activo de información, por
lamaterialización de una amenaza.
Incidente: La afectación o interrupción a los Activos de TIC, a las Infraestructuras

críticas,así como a los Activos de información de una Institución, incluido el
acceso noautorizado o no programado a éstos.
Iniciativas de TIC: ...
Infraestructuras Las instalaciones, redes, servicios y equipos asociados o vinculados con

críticas: Activos de TIC o Activos de Información, cuya afectación, interrupción o
destrucción tendría un impacto mayor, entre otros, en la salud, la seguridad, el
bienestar económico de la población o en el eficaz funcionamiento de las
Instituciones.
Infraestructura de TIC: ...
Instancias de Las Instituciones o autoridades que en función de sus atribuciones
seguridad nacional: participendirecta o indirectamente en la seguridad nacional, conforme a lo
dispuesto en lafracción II del artículo 6 de la Ley de Seguridad Nacional,
incluidas aquéllas quetengan reconocido dicho carácter por Acuerdo tomado en
el seno del Consejo de Seguridad Nacional.
Institución
a ...
Integridad:
Interdependencia: La interconexión estrecha que existe entre las Infraestructuras críticas, y

queconlleva a que la falla o falta de una de ellas impacte negativamente en
otrasInfraestructuras críticas, presentándose como consecuencia un efecto
cascadade fallas en la prestación de servicios.
Interoperabilidad
a ...
Mapa estratégico de la
UTIC:
Marco rector El conjunto de procesos tendientes a la homologación de la gestión de

deprocesos: laseguridad de la información, así como de la gestión interna de las UTIC,
queconstituyen el presente Manual.
Mesa de servicios ...

a
Recursos humanos en
la UTIC:
Reglas de adaptación: El documento que contiene los supuestos en que resulta factible adaptar
algunode los procesos del "Marco rector de procesos", cuando por las
característicasparticulares de la Institución así se justifique, conforme a lo
previsto en elproceso OSGP- Operación del sistema de gestión y mejora de los
Repositorio
a ...
Requerimientos
funcionales:
Riesgo: La posibilidad de que una amenaza pueda explotar una vulnerabilidad y

causaruna pérdida o daño sobre los Activos de TIC, las Infraestructuras críticas
o losActivos de información de la Institución.
Seguridad de la La capacidad de preservar la confidencialidad, integridad y disponibilidad de

información: lainformación, así como la autenticidad, confiabilidad, trazabilidad y no repudio
de la misma.
Seguridad nacional: Las acciones destinadas de manera inmediata y directa a mantener
la integridad, estabilidad y permanencia del Estado Mexicano, conforme a
lo dispuesto en el artículo 3 de la Ley de Seguridad Nacional.
Sistema o aplicativo ...

a
Verificación:
Vulnerabilidades: Las debilidades en la seguridad de la información dentro de una

organización que potencialmente permite que una amenaza afecte a los Activos
de TIC, a laInfraestructura crítica, así como a los Activos de información.
AA: El grupo de procesos de Administración de activos del "Marco rector

deprocesos". Agrupa los siguientes procesos: ADT, ACNC y APC.
AAF: El proceso de Administración de ambiente físico, del "Marco rector de procesos".
ACMB: El proceso de Administración de cambios, del "Marco rector de procesos".
ACNC: El proceso de Administración del conocimiento, del "Marco rector de procesos".
ACNF: El proceso de Administración de la configuración, del "Marco rector deprocesos".
AD: El grupo de procesos de Administración para el desarrollo de

solucionestecnológicas del "Marco rector de procesos". Agrupa los siguientes
procesos:ATC, DST y CST.
ADT: El proceso de Administración de dominios tecnológicos, del "Marco

rector deprocesos".
ADTI: El proceso de Administración para las contrataciones de TIC, del "Marco

rector de procesos".

deprocesos".

deprocesos".
AO: El proceso de Administración de la operación, del "Marco rector de procesos".
AP: El grupo de procesos de Administración de procesos del "Marco rector

deprocesos". Está conformado por el proceso OSGP.
APBS: El proceso de Administración de proveedores de bienes y servicios de TIC,

del"Marco rector de procesos".
APC: El proceso de Apoyo a la capacitación del personal de la UTIC, del "Marco

rectorde procesos".

del "Marco rector de procesos".
APS: El proceso de Administración del portafolio de servicios de TIC, del "Marco
rectorde procesos".

deprocesos".

deprocesos".

deprocesos". Agrupa los siguientes procesos: APT, APBS y ADTI.
AS: El grupo de procesos de Administración de servicios, del "Marco rector

deprocesos". Agrupa los siguientes procesos: APS y DSTI.
ASI: El proceso de Administración de la seguridad de la información,

del "Marco rector de procesos".
ATC: El proceso de Apoyo técnico para la contratación de soluciones tecnológicas

deTIC, del "Marco rector de procesos".
CST: El proceso de Calidad de las soluciones tecnológicas de TIC, del "Marco

rector de procesos".
DCSI: El grupo de procesos de Dirección y control de la seguridad de la

información, del"Marco rector de procesos". Agrupa los siguientes procesos ASI
y OPEC.
DDT: El proceso de Determinación de la dirección tecnológica, del "Marco rector
deprocesos".
DR: El grupo de procesos de Dirección y control de TIC del "Marco rector

deprocesos". Agrupa los siguientes procesos: EMG, PE, DDT y AE.
DST: El proceso de Desarrollo de soluciones tecnológicas de TIC, del "Marco rector de

procesos".
DSTI: El proceso de Diseño de servicios de TIC, del "Marco rector de procesos".
EMG: El proceso de Establecimiento del modelo del gobierno de TIC, del "Marco
rectorde procesos".
ERISC: El Equipo de respuesta a incidentes de seguridad en TIC en la Institución.
LE: El proceso de Liberación y entrega, del "Marco rector de procesos".
MI: El proceso de Mantenimiento de infraestructura, del "Marco rector de procesos".
OMS: El proceso de Operación de la mesa de servicios, del "Marco rector deprocesos".
OP: El grupo de procesos de Operaciones del "Marco rector de procesos". Agrupalos

siguientes procesos: AO, AAF y MI.
OPEC: El proceso Operación de controles de seguridad de la información y del

ERISC,del "Marco rector de procesos".
OS: El grupo de procesos de Operación de servicios del "Marco rector de
procesos".Agrupa los siguientes procesos: OMS y ANS.
OSGP: El proceso de Operación del sistema de gestión y mejora de los procesos de

laUTIC, del "Marco rector de procesos".
PE: El proceso de Planeación estratégica de TIC, del "Marco rector de procesos".
PETIC: ...
PR: El grupo de procesos de Administración de proyectos del "Marco rector

deprocesos". Agrupa los siguientes procesos: APP y APTI.
SFP
a ...
SGSI:
TE: El grupo de procesos de Transición y entrega del "Marco rector de

procesos".Agrupa los siguientes procesos: ACMB, LE, THO y ACNF.
THO: El proceso de Transición y habilitación de la operación, del "Marco rector

deprocesos".
TIC a UTIC: ...
2. OBJETIVOS
General:
Definir los procesos que en materia de TIC y de seguridad de la información, regirán a las
Instituciones, con el propósito de regular y homologar su gestión, independientemente de la estructura
organizacional con que éstas cuenten.
Específicos:
1. Proporcionar a las Instituciones procesos simplificados y homologados en materia de TIC y deseguridad de
la información, así como las correspondientes regulaciones para cada proceso.
2. Establecer indicadores homologados que permitan a la SFP medir los resultados de la gestión de laUTIC,
de manera que le sea posible definir estrategias de apalancamiento y apoyo a las Institucionesque lo
requieran.
3. Contribuir a alcanzar una mayor eficiencia en las actividades y procesos institucionales, mediante
laaplicación del "Marco rector de procesos", contenidos en el presente Manual.
3. AMBITO DE APLICACION
El presente Manual es de aplicación general en las Instituciones.
4. MARCO JURIDICO
Los ordenamientos jurídicos referidos en este apartado, se citan de manera enunciativa y no limitativa.
2. Código Penal Federal.
4. Ley Orgánica de la Procuraduría General de la República.
10. Ley Federal de Telecomunicaciones.
11. Ley General de Bienes Nacionales.
12. Ley de Seguridad Nacional.
13. Reglamento Interior de la Secretaría de Gobernación.
18. Reglamento para la Coordinación de Acciones Ejecutivas en Materia de Seguridad Nacional.
20. Programa Especial de Mejora de la Gestión en la Administración Pública Federal 2008-2012, publicado en
el Diario Oficial de la Federación el 10 de noviembre de 2008.
PúblicaFederal, publicado en el Diario Oficial de la Federación el 4 de diciembre de 2006.
22. Lineamientos Específicos para la Aplicación y Seguimiento de las Medidas de Austeridad y Disciplinadel
Gasto de la Administración Pública Federal; publicado en el Diario Oficial de la Federación el 29 de
diciembre de 2006.
23. Acuerdo por el que se adicionan y modifican los lineamientos específicos para la aplicación yseguimiento
de las medidas de austeridad y disciplina del gasto de la Administración Pública Federal,publicado en el
Diario Oficial de la Federación el 14 de mayo de 2007.
24. Lineamientos de Protección de Datos Personales, publicado en el Diario Oficial de la Federación el 30 de
septiembre de 2005.
25. Recomendaciones sobre medidas de Seguridad aplicables a los Sistemas de Datos Personales,emitidos
por el entonces Instituto Federal de Acceso a la Información.
26. Acuerdo por el que se da a conocer la Agenda de Gobierno Digital, publicado en el Diario Oficial de
laFederación el 16 de enero de 2009.
27. Acuerdo por el que se establece el Esquema de Interoperabilidad y de Datos Abiertos de laAdministración
Pública Federal, publicado en el Diario Oficial de la Federación el 6 de septiembre de2011.
5.1 DR - DIRECCION Y CONTROL DE TIC
5.1.1 EMG Establecimiento del modelo de gobierno de TIC

General:
Establecer un modelo de gobierno de TIC en la Institución, mediante la conformación de dos grupos
detrabajo para efectuar, entre otras acciones, el análisis de las oportunidades de aprovechamiento de las
TICy asegurar la adecuada organización al interior de la UTIC para la gestión de sus procesos.
Específicos:
1. Establecer un modelo de gobierno de TIC.
2. Establecer y mantener al interior de la UTIC los roles definidos en el "Marco rector de procesos".
3. Operar y mantener un modelo de gobierno de las TIC, a fin de:
a) Promover que los mandos medios y los titulares de las unidades administrativas de la Institución,
coadyuven con la UTIC en la toma de decisiones para la dirección y control de las TIC, así como para la
entrega efectiva y eficiente de servicios de TIC.
b) Asegurar que la asignación de roles a quienes integran el Recurso humano en la UTIC, permita la gestión
eficiente de los procesos indicados en el presente Manual.
EMG- 1 a
EMG- 2 ...
EMG-3 Operar y mantener el modelo de gobierno de TIC
Descripción ...

1. a 3. ...
4. Aprobar el sistema de gestión y mejora de los procesos de la UTIC, así como
losindicadores del Cuadro de mando integral de la UTIC.
5. Establecer la coordinación necesaria con el Responsable de seguridad de lainformación
para armonizar el gobierno de TIC, la administración de riesgos y elSGSI.
6. Conocer los criterios técnicos que proponga el Responsable de la seguridad
de lainformación en la Institución para gestionar los riesgos.
7. Informar al Titular de la Institución acerca de los resultados, recomendaciones yacuerdos
del Grupo de trabajo para la dirección de TIC.
5.1.1.2.2 a
5.1.1.3 ...
1.1 ...
1.2 Los roles que se señalan en cada uno de los procesos de este Manual, con excepción
delos mencionados en los procesos ASI- Administración de la seguridad de la
información yOPEC- Operación de los controles de seguridad de la información y del
ERISC, seránasignados a los servidores públicos de la UTIC en este proceso. Para
cualquier cambio en su asignación será necesario considerar los resultados del proceso
OSGP- Operación del sistema de gestión y mejora de los procesos de la UTIC.
1.3 Los servidores públicos de la UTIC, así como los de otras áreas o
unidadesadministrativas de la Institución serán responsables, de acuerdo a los roles que
les seanasignados, de las actividades que en los diversos procesos de este Manual se
señalanpara dichos roles.
1.4 El Grupo de trabajo para la dirección de TIC deberá apoyar la implantación, operación
ymejora del SGSI, así como las acciones que realice el Grupo de trabajo estratégico
deseguridad de la información.
5.1.2 a
5.1.3.4 ...
General:
Establecer mecanismos de seguimiento y evaluación de la ejecución de la planeación estratégica de
TIC, así como acciones de mejora a partir de sus resultados.
Específicos:
1. Establecer un sistema que permita evaluar la operación y servicios de TIC, mediante la definición
deindicadores y el seguimiento a éstos.
2. Proporcionar informes de resultados de la operación de los procesos y de los servicios de TIC, asícomo del
avance en el cumplimiento de objetivos.
3. Establecer acciones de mejora para prevenir o corregir desviaciones, así como dar seguimiento a
lasmismas.
AE-1 Establecer el sistema de evaluación de TIC
Descripción Establecer los indicadores que integrarán el sistema de evaluación de TIC.

Factorescríticos El Responsable del sistema de evaluación de TIC, con apoyo de los
Responsables de los procesos del "Marco rector de procesos", deberá:
1. Integrar el Documento de indicadores del sistema de evaluación de TIC, considerando los
siguientes elementos:
a) Los indicadores de los procesos del Manual.
b) El diseño de indicadores para medir: proyectos y servicios de TIC; reducción decostos;
satisfacción de los usuarios; niveles de servicio y cumplimiento de losObjetivos
c) Los insumos que este proceso requiere de los demás procesos del Manual y los
productos a entregar al proceso OSGP- Operación del sistema de gestión ymejora de los
d) La forma de operar del sistema.
2. Obtener la aprobación del Responsable de este proceso para el establecimiento
delsistema de evaluación de TIC.
3. Revisar, al menos una vez al año, el diseño de los indicadores y forma de operar
delsistema de evaluación de TIC, de manera que se asegure su consistencia
eintegralidad.
4. Difundir el Documento de indicadores del sistema de evaluación de TIC entre elRecurso
humano en la UTIC y usuarios involucrados.
5. Sensibilizar al Recurso humano en la UTIC y usuarios sobre la importancia de
laevaluación de TIC a través de los indicadores establecidos.
AE-2 Alinear los insumos y las métricas
Descripción Establecer los insumos y las métricas de cada indicador de proyectos y servicios de
TIC,de manera que sean consistentes con los indicadores de los procesos del
presenteManual.
1. Identificar los insumos y las métricas de los indicadores.
2. Establecer, para cada métrica, su identificación y características: nombre,
categoría,unidad de medida, periodicidad de recolección, valores máximos y
mínimos;responsable del diseño de cada métrica e indicador, entre otros atributos de
lasmétricas.
3. Especificar las fórmulas de cálculo de las métricas y los indicadores.
4. Establecer los valores máximos y mínimos de cada nivel de desempeño de
losindicadores.
5. Integrar las definiciones de los factores anteriores en el Documento de métricas yfórmulas
de cálculo del sistema de evaluación de TIC.
6. Obtener del Titular de la UTIC la aprobación del Documento de métricas y fórmulas de
cálculo del sistema de evaluación de TIC.
7. Difundir el Documento de métricas y fórmulas de cálculo del sistema de evaluación de
TIC entre el Recurso humano en la UTIC y usuarios involucrados.
8. Verificar la vigencia de las métricas al menos una vez al año.
AE-3 Especificar los mecanismos de recolección y almacenamiento
Descripción Identificar las fuentes de los datos que son insumo de las métricas y establecer cómo
seobtienen y almacenan.

1. Integrar el Documento de mecanismos de recolección y almacenamiento de datos, con
los elementos siguientes:
a) Identificación de las fuentes de los datos: el proceso que provee el dato, elresponsable
que provee el dato, la periodicidad con la que se provee el dato y la forma en que éste se
entrega.
b) Definición e implantación de las Herramientas para la recolección yalmacenamiento de
datos.
2. Verificar que la totalidad de las métricas cuentan con una fuente de datos.
3. Obtener la aprobación del Titular de la UTIC del Documento de mecanismos
4. Difundir el Documento de mecanismos de recolección y almacenamiento de datos,entre
el Recurso humano en la UTIC y usuarios involucrados.
5. Revisar y, en su caso, actualizar métricas e indicadores al menos una vez al año.
AE-4 Especificar los métodos de análisis

Descripción Especificar los métodos para el análisis y reporte de los datos del sistema de
evaluaciónde TIC.

1. Seleccionar métodos y herramientas para el análisis de datos e integrarlos en
elDocumento de Métodos de análisis del sistema de evaluación de TIC, considerando:
a) La naturaleza de los datos que serán insumo del sistema, de manera quepermitan el
cálculo y análisis de métricas e indicadores.
b) La forma y plazos en que se revisarán los métodos seleccionados.
c) Que las Herramientas de análisis de datos permitan una elaboración ágil de losInformes
de medición y análisis.
2. Especificar y priorizar los requerimientos de información y reportes que debangenerarse.
3. Definir el contenido y formato de la información requerida por los métodos de
análisisseleccionados.
4. Efectuar, al menos una vez al año, la revisión de métricas, indicadores, informes y dela
forma para evaluar los resultados del análisis de datos, así como de los
informesestablecidos.
AE-5 Establecer el Repositorio de métricas
Descripción Establecer y mantener actualizado el Repositorio de métricas del sistema de

evaluación de TIC.

2. Diseñar e implantar el Repositorio de métricas como un componente del sistema
deconocimiento, de acuerdo al proceso ACNC- Administración del conocimiento.
3. Especificar la forma en que se almacenarán, actualizarán y recuperarán las métricas y la
información para interpretarlas y evaluarlas.
4. Mantener disponible y actualizado el Repositorio de métricas, con la información quese
genere por las actividades del presente proceso.
5. Revisar, al menos una vez al año, la integridad de la información contenida en
elRepositorio de métricas.
AE-6 Recolectar y revisar los datos insumo para las métricas
Descripción Obtener los datos que son insumo para las métricas y analizar e interpretar los mismos.
1. Extraer del Repositorio de métricas los datos de insumo para las métricas.
2. Revisar la integridad y exactitud de los datos de insumo.
3. Analizar e interpretar los datos.
4. Almacenar datos e información de acuerdo con lo señalado en las actividades AE-3 yAE-
5 de este proceso.
5. Integrar el Reporte de resultados de la revisión, el cual deberá contener la lista
deverificación de los datos insumo para la totalidad de las métricas, de acuerdo a
losresultados del análisis y la interpretación de los datos.
AE-7 Elaborar Informes de medición y análisis
Descripción Elaborar los informes de resultados de la evaluación de la ejecución de la

planeaciónestratégica de TIC.

1. Elaborar los Informes de medición y análisis de manera que muestren:
a) El resultado del análisis de los datos de insumo para las métricas y el cálculo de
indicadores.
b) Los riesgos relacionados con la capacidad de desarrollo de solucionestecnológicas, la
entrega de servicios de TIC y el nivel de cumplimiento de losobjetivos de los procesos.
c) La interpretación de los resultados.
d) Las conclusiones de la medición efectuada, incluyendo el impacto en losservicios de TIC,
los activos de TIC y los procesos.
2. Desarrollar, en caso de ser necesario, análisis complementarios, preparar losresultados e
integrar éstos a los Informes de medición y análisis.
3. Obtener el visto bueno del Responsable del sistema de evaluación de TIC, para
supresentación a los Responsables de los procesos del presente Manual.
AE-8 Comunicar resultados a los grupos de trabajo y al Recurso humano en la

UTICinvolucrado
Descripción Mantener informados al Grupo de trabajo para la dirección de TIC y a los grupos
de trabajo de la UTIC, de los resultados de la evaluación de la ejecución de la
planeación estratégica de TIC.
1. Consolidar los datos relevantes que muestren el grado en el que se están cumpliendo los
proyectos y servicios de TIC, en Informes ejecutivos de evaluación de TIC, que reflejen el
impacto de la gestión.
2. Integrar los controles y acciones realizadas para la mitigación de los riesgosidentificados
en la UTIC.
3. Mostrar en el Cuadro de mando integral de la UTIC los resultados de los indicadores.
4. Obtener del Responsable del sistema de evaluación de TIC, la aprobación de
losresultados consolidados de los informes ejecutivos.
El Responsable del sistema de evaluación de TIC deberá:
5. Elaborar las conclusiones finales sobre el impacto a los procesos, proyectos,recursos y
servicios de TIC.
6. Dar a conocer, en forma oportuna y confiable los Informes ejecutivos de evaluación de
TIC, a los Responsables de los procesos de la UTIC y a los miembros de los grupos de
trabajo establecidos en cada proceso, así como las acciones que se realizaron para
mitigar los riesgos que se materializaron.
AE-9 Implementar acciones de mejora
Descripción Identificar desviaciones y oportunidades de mejora en los proyectos y servicios de

TIC,con base en los Informes ejecutivos de evaluación de TIC, para definir e implementar
lasacciones correctivas y preventivas.

1. Identificar desviaciones y oportunidades de mejora, con base en los Informesejecutivos
de evaluación de TIC.
2. Determinar, con la participación del Recurso humano en la UTIC involucrado, lasacciones
correctivas y preventivas e integrarlas en el Programa de mejora,incorporando
actividades para revisiones periódicas.
3. Definir los resultados esperados de la implementación del Programa de mejora.
4. Coordinar a los involucrados en la ejecución del Programa de mejora.
5. Evaluar los resultados del Programa de mejora y comunicar al Titular de la UTIC y a los
responsables de proyectos y servicios de TIC dichos resultados y su evaluación, que
incluirá:
a) El comparativo de los resultados esperados y de los obtenidos.
b) Las lecciones aprendidas.
c) Las conclusiones documentadas.
1.1 "Documento de Indicadores del sistema de evaluación de TIC", formato sugerido:

anexo 4, formato 1.
1.2 "Documento de métricas y fórmulas de cálculo del sistema de evaluación de TIC", formato
1.3 "Documento de mecanismos de recolección y almacenamiento de datos",

1.4 "Herramientas para la recolección y almacenamiento de datos", definidas por

la Institución.
1.5 "Documento de métodos de análisis del sistema de evaluación de TIC", conforme

alformato que defina la Institución.
1.6 "Herramientas de análisis de datos", definidas por la Institución.
1.7 "Repositorio de métricas", definido por la Institución.
1.8 "Reporte de resultados de la revisión", formato sugerido: anexo 4, formato 4.
1.9 "Informes de medición y análisis", formato sugerido: anexo 4, formato 5.
1.10 "Informes ejecutivos de evaluación de TIC", formato sugerido: anexo 4, formato 6.
1.11 "Programa de mejora", formato sugerido: anexo 4, formato 7.
1.1 Responsable del proceso AE- "Administración de la evaluación de TIC".
1.2 Responsable del sistema de evaluación de TIC.
1.3 Analista de evaluación de TIC.
Nombre Objetivo Descripción Clasificación Fórmula Responsabl Frecue

e ncia
de
cálculo
Resultadodel Conocer Medir Dimensión:Efi % de El Responsa Semest
sistemadeevalu laeficiencia lasdesviaciones yoport ciencia. eficiencia=(Desv bledel ral.
aciónde TIC. con la unidadesde iaciones sistema
mejoraresueltas Tipo:
queestáope yoportunidades deevaluació
pormedio delsistema
rando deevaluación deTIC. De gestión. demejora n deTIC.
elsistema resueltos por
deevaluaci medio
ónde TIC. del sistema
deevaluación de
TIC
/Desviaciones
yoportunidades
demejora
identificadospor
medio
delsistema
deevaluación de
TIC) X 100

1.2 El Responsable de este proceso, a través del Responsable del sistema de evaluación
deTIC deberá asegurarse que el sistema de evaluación de TIC sea consistente con
losdemás sistemas de evaluación de la Institución.
5.2 DCSI DIRECCION Y CONTROL DE LA SEGURIDAD DE LA INFORMACION
5.2.1 ASI Administración de la seguridad de la información
General:
Establecer y vigilar los mecanismos que permitan la administración de la Seguridad de la información de
laInstitución, así como disminuir el impacto de eventos adversos, que potencialmente podrían afectar
el logro de los objetivos de la Institución o constituir una amenaza para la Seguridad nacional.
Específicos:
1. Establecer, operar y mantener un modelo de gobierno de Seguridad de la información.
2. Efectuar la identificación de Infraestructuras críticas y Activos clave de la Institución y elaborar elCatálogo
respectivo.
3. Establecer los mecanismos de administración de riesgos que permitan identificar, analizar, evaluar,atender
y monitorear los riesgos.
4. Establecer un SGSI que proteja los Activos de información de la Institución, con la finalidad de preservar su
confidencialidad, integridad y disponibilidad.
5. Establecer mecanismos para la respuesta inmediata a Incidentes a la seguridad de la Información.
6. Vigilar los mecanismos establecidos y el desempeño del SGSI, a fin de prever desviaciones y mantener
una mejora continua.
7. Fomentar una cultura de Seguridad de la información en la Institución.
ASI-1 Establecer un modelo de gobierno de seguridad de la información
Descripción Designar al Responsable de la seguridad de la información y establecer el grupo

de trabajo encargado de la implantación y adopción del modelo de gobierno de
seguridad de la información en la Institución.
Factorescríticos Al Titular de la Institución le corresponderá:
1. Designar al Responsable de la seguridad de la información en la Institución, quiendeberá
tener nivel jerárquico mínimo de Director General o equivalente.
El Responsable de la seguridad de la información en la Institución deberá:
2. Establecer el Grupo de trabajo estratégico de seguridad de la información, que estará
integrado por servidores públicos que conozcan los procesos institucionales y que
cuenten con conocimientos en materia de seguridad de la información, mediante el
Documento de integración y operación del grupo de trabajo estratégico de seguridad de la
información, y asegurarse de que:
a) El Documento contenga, al menos: los objetivos y responsabilidades del grupode trabajo;
miembros del grupo; roles y responsabilidades de cada miembro, así como el
funcionamiento del grupo.
b) Se comuniquen los roles y responsabilidades de los integrantes del Grupo detrabajo
estratégico de seguridad de la información.
3. Encabezar el Grupo de trabajo estratégico de seguridad de la información y
darseguimiento a las acciones establecidas en el mismo.
ASI-2 Operar y mantener el modelo de gobierno de seguridad de la información
Descripción Institucionalizar prácticas para asegurar la implantación, seguimiento y control de

laseguridad de la información en la Institución.
Factorescríticos El Grupo de trabajo estratégico de seguridad de la información deberá:

1. Coordinar la elaboración y actualización del Catálogo de infraestructuras críticas de la
Institución.
2. Establecer, conjuntamente con los Responsables de los grupos de procesos PR, AS,TE,
OS, AA y OP, así como en su caso con los servidores públicos que administrenActivos de
información, los mecanismos para garantizar la protección de lasInfraestructuras críticas
que éstos tengan bajo su responsabilidad.
3. Vigilar que los controles de seguridad de la información que se definan e
implanten,consideren los mecanismos establecidos en el factor crítico anterior, así como
elAnálisis de riesgos que se realiza en la actividad ASI-6.
4. Constatar que se efectúe la implantación de SGSI en la Institución y que se lleven acabo
revisiones al mismo en periodos no mayores a un año, a fin de verificar sucumplimiento.
5. Dar seguimiento a las acciones de mejora continua derivadas de las revisiones alSGSI.
DOF: 22/08/2012
ACUERDO por el que se reforma y adiciona el diverso por el que se establecen las disposiciones
administrativas enmateria de tecnologías de la información y comunicaciones y de seguridad de la
información, y se expide el ManualAdministrativo de Aplicación General en esas materias.
Al margen un sello con el Escudo Nacional, que dice: Estados Unidos Mexicanos.- Secretaría
de Gobernación.- Secretaría de la Función Pública.
ALEJANDRO ALFONSO POIRE ROMERO, Secretario de Gobernación, y RAFAEL MORGAN
RIOS, Secretario de la Función Pública, con fundamento en lo dispuesto en los artículos 27, fracciones
XII, XXIX y XXXII; 37, fracciones VI y XXVI de la Ley Orgánica de la Administración Pública Federal; 12
fracciones II y VII, 18 y 55 de la Ley de Seguridad Nacional; 10, 11 y 24, fracción VII del Reglamento
para la Coordinación de Acciones Ejecutivas en materia de Seguridad Nacional; 1 y 5, fracciones XIX,
XXII, XXIV y XXXII del Reglamento Interior de la Secretaría de Gobernación; 1 y 6, fracciones I y XXIV
del Reglamento Interior de laSecretaría de la Función Pública, y
CONSIDERANDO
Que el 13 de julio de 2010, se publicó en el Diario Oficial de la Federación el Acuerdo por el que se
expidió el Manual Administrativo de Aplicación General en Materia de Tecnologías de la Información
y Comunicaciones, en el cual se contienen las disposiciones administrativas, así como las reglas,
acciones y procesos que en esa materia deben observar las diversas dependencias y entidades de la
Administración Pública Federal y, cuando corresponda la Procuraduría General de la República, mismo
que se modificó mediante acuerdos publicados en el referido órgano de difusión oficial en fechas 6 de
septiembre y 29 denoviembre de 2011, incorporando en el último de dichos acuerdos las disposiciones
administrativas y procesos en materia de seguridad de la información;
Que en términos de lo establecido por el artículo octavo de las disposiciones administrativas en
materia de tecnologías de la información y comunicaciones y de seguridad de la información, tales
disposiciones, así como los procesos contenidos en el Manual Administrativo de Aplicación General en
Materia de Tecnologías de la Información y Comunicaciones y de Seguridad de la Información deben
revisarse, por la Secretaría de Gobernación, a través del Centro de Investigación y Seguridad Nacional,
y por la Secretaría de la Función Pública, por conducto de la Unidad de Gobierno Digital, cuando menos
una vez al año, para efectos de su actualización, y
Que durante el proceso de revisión a que hace referencia el considerando que antecede, en el seno
del Comité Especializado en Seguridad de la Información establecido por acuerdo del Consejo de
Seguridad Nacional, se advirtió la necesidad de precisar y aclarar algunos aspectos de las disposiciones
relativas a la materia de seguridad de la información, por lo que hemos tenido a bien expedir el
siguiente:
ACUERDO
ARTICULO UNICO.- SE REFORMA el artículo Sexto Bis, en sus fracciones I, incisos a) al c) y III,
incisos a), primer párrafo; c); d), y e) subinciso i); y SE ADICIONA al artículo Sexto Bis, un segundo
párrafo, recorriéndose en su orden los párrafos subsecuentes; y tres párrafos al artículo Sexto Ter, todos
del Acuerdo por el que se establecen las disposiciones administrativas en materia de tecnologías de la
información y comunicaciones y de seguridad de la información, y se expide el Manual Administrativo de
Aplicación General en esas materias, para quedar como sigue:
"Artículo Sexto Bis.- ...
I. ...
a) "AAA": se asignará este nivel cuando se trate de información requerida para el proceso de
decisiones políticas fundamentales, esto es, para la adopción de decisiones sobre riesgos y amenazas a
la seguridad nacional, por parte del Presidente de la República, previa consideración del Consejo
de Seguridad Nacional, cuya revelación no autorizada pueda dañar la integridad,
estabilidad o permanencia del Estado mexicano;
b) "AA": este nivel se asignará a la información resultante del ejercicio de atribuciones sustantivas,
cuya revelación no autorizada pueda actualizar o potenciar un riesgo o amenaza a la seguridad
nacional en términos de la Ley de la materia, o bien, comprometer su operación, las condiciones de
seguridad de las instalaciones estratégicas o la integridad física de su personal, y
c) "A": se asignará este nivel a aquella información que derive del cumplimiento de las
disposiciones jurídicas en materia de ejercicio del gasto, transparencia y rendición de cuentas, cuya
revelación no autorizada pueda comprometer su operación, las condiciones de seguridad de las
instalaciones estratégicas o la integridad física de su personal;
II. ...
III. ...
a) Se incluya una carátula al inicio del documento, con la leyenda relativa al nivel de
diseminación asignado, así como el nombre y cargo o código de seguridad del destinatario.
...
b) ...
c) Se utilizarán mecanismos de cifrado de llave pública y privada, canales cifrados de comunicación y,
cuando corresponda, de firma electrónica avanzada, que permitan la diseminación de la información
únicamente al destinatario autorizado al que esté dirigida;
d) Verificar ante el Centro el registro de los destinatarios de información de seguridad nacional, y
e) ...
i) Acusar de recibido al remitente, utilizando los mismos mecanismos de cifrado de llave pública y privada,
canales cifrados de comunicación y, cuando corresponda, de firma electrónica avanzada. Cuando no
sea posible acusar de recibo al remitente, los mecanismos utilizados deberán generar registros de
envío-recepción de la información diseminada;
ii) ...
iii) ...
f) ...
IV. ...
V. ...
La diseminación al interior de las Instancias de seguridad nacional deberá realizarse mediante
controles de seguridad consistentes con los previstos en este artículo, que garanticen la seguridad de la
información.
Las dependencias y entidades que, aún sin tener el carácter de Instancia de seguridad nacional,
generen o sean destinatarias de información considerada de seguridad nacional, deberán observar lo
establecido en este artículo en los casos en que compartan o transmitan dicha información.
Lo dispuesto en este artículo se aplicará sin perjuicio de lo establecido en la Ley Federal de
Transparencia y Acceso a la Información Pública Gubernamental y demás disposiciones aplicables.
Artículo Sexto Ter.- ...
Lo anterior será aplicable para los órganos administrativos desconcentrados, salvo para aquéllos que
el Centro exceptúe.
Asimismo, se deberán comunicar al Centro los nombres de las personas autorizadas para
conocer información de seguridad nacional, en razón de su empleo, cargo o comisión, relación
contractual o de cualquier otra naturaleza, así como el nivel de diseminación a que se refiere la fracción I
del artículo Sexto Bis, acompañada de las promesas de confidencialidad previstas en el artículo 53 de la
Ley de Seguridad Nacional, para efectos de su registro y consulta por parte de las demás dependencias
o entidades.
Cualquier modificación a la información a que se refieren los párrafos anteriores deberá comunicarse
al Centro de inmediato."
TRANSITORIO
Unico.- El presente Acuerdo entrará en vigor al día siguiente de su publicación en el Diario Oficial de
la Federación.
México, Distrito Federal, a los catorce días del mes de agosto de dos mil doce.- El Secretario
de Gobernación, Alejandro Alfonso Poiré Romero.- Rúbrica.- El Secretario de la Función
Pública, Rafael Morgan Ríos.- Rúbrica.

MAAGMTIC2010

Cargado por

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

MAAGMTIC2010

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

MAAGMTIC2010

Cargado por

Copyright:

Formatos disponibles

DOF: 13/07/2010

ACUERDO por el que se expide el Manual Administrativo

Artículo Cuarto.- Los titulares de las dependencias y entidades, en el ámbito de sus

5.1.3.4 Reglas del proceso

5.3.2.5 Documentación soporte del proceso

5.6 ADMINISTRACION DE SERVICIOS

5.7.3.2 Descripción del proceso

5.8.4.2. Descripción del proceso

5.9.4.2.1 Descripción de las actividades del proceso

5.11.1.2.1 Descripción de las actividades del proceso

CONCEPTO DEFINICION / SIGNIFICADO

Activo de TIC: La información, base de datos, programa de cómputo, bien informático

Ambiente de trabajo: El conjunto de herramientas, utilerías, programas, aplicaciones,

Autenticación: El proceso que tiene por objetivo asegurar la identificación de un

Cifrado: La acción que permite, mediante técnicas matemáticas, codificar datos

Confidencialidad: La característica o propiedad por cual la información está disponible o

Cuenta: El identificador único y personal compuesto por el nombre del

Datos personales: La información concerniente a una persona física, identificada o

Disponibilidad: La característica o propiedad de la información, de permanecer

Entregable: El producto adquirido, desarrollado o personalizado, con

Estrategia Las líneas de acción definidas para establecer en el ámbito de

Firma Los datos en forma electrónica que permiten la identificación de titular

Funcionalidad: Las características de un servicio de TIC que permiten que cubra

Gestión de riesgos: La identificación, valoración, y ejecución de acciones para el control

Gobernabilidad: Coordinación de acciones orientadas a la dirección y el control, con

Gobierno digital: Las políticas, acciones y criterios para el uso y aprovechamiento de

Incidente: La interrupción no planificada de un servicio de TIC o reducción en la calidad de un servicio de TIC.

Institución (es): Las dependencias y entidades de la Administración Pública Federal,

Integridad: Mantener la exactitud y corrección de la información y sus métodos

Interoperabilidad: La capacidad del hardware, software, sistemas o aplicativos,

Marco rector de El conjunto de procesos tendientes a la homologación de la gestión

Mesa de servicios: El punto de contacto único, en el cual se reciben las solicitudes de

Problemas: El evento o incidente del cual se plantea una solución alterna, no se

Repositorio: El espacio en medio magnético donde se almacena y mantiene

Rol: Los papeles que se desempeñan en la UTIC en los procesos

Seguridad de La capacidad de preservación de la confidencialidad, integridad

Servicios: Actividades que desarrollan o coordinan las UTIC encaminadas a

Tarjeta Inteligente: El instrumento que contiene un dispositivo electrónico de

Titular de un La persona que obtiene un certificado digital de firma electrónica

Unidad responsable: Las unidades administrativas de la Institución que para el desarrollo

Usuarios: Los servidores públicos que en el desempeño de sus funciones

Validación: La actividad que asegura que un servicio de TIC, proceso, plan u

Verificación: La actividad que permite revisar si un servicio de TIC, plan, proceso

ACRONIMO DEFINICION / SIGNIFICADO

AA: El grupo de procesos de Administración de activos del "Marco rector

AAF: El proceso de Administración de ambiente físico, del "Marco rector

ACMB: El proceso de Administración de cambios, del "Marco rector de procesos

ACNC: El proceso de Administración del conocimiento, del "Marco rector

ACNF: El proceso de Administración de la configuración, del "Marco rector

ADT: El proceso de Administración de dominios tecnológicos, del "Marco

AE: El proceso de Administración de la evaluación, de TIC del "Marco rector

ANS: El proceso de Administración de niveles de servicio, del "Marco rector

AO: El proceso de Administración de la operación, del "Marco rector de

AP: El grupo de procesos de administración de procesos del "Marco rector

APP: El proceso de Administración del portafolio de proyectos de TIC,

APPS: El proceso de Administración de proveedores de productos y servicios

APS: El proceso de Administración del portafolio de servicios de TIC,

APT: El proceso de Administración del presupuesto de TIC del "Marco rector

APTI: El proceso de Administración de proyectos de TIC, del "Marco rector