Tercera Resolución de modificaciones a las Reglas Generales de Comercio Exterior para 2018 y sus Anexos 1, 1-A, 4 y 22. (Continúa de la Cuarta Sección).
| Edición | Matutina |
| Emisor | Secretaría de Hacienda y Crédito Publico |
TERCERA Resolución de modificaciones a las Reglas Generales de Comercio Exterior para 2018 y sus Anexos 1, 1-A, 4 y 22. (Continúa de la Cuarta Sección). (Viene de la Cuarta Sección)
| Respuesta:
| Notas Explicativas:
|
| | Describa el procedimiento para la baja del personal, y asegúrese de incluir lo siguiente:
- Cómo se realiza la entrega de identificaciones, controles de acceso y demás equipo.
- Indique si cuentan con un registro y/o formato, en que se identifique y asegure la entrega de material y baja en sistemas informáticos (en su caso, favor de anexar).
- Señale si mantienen registros del personal que finalizó su relación laboral con la empresa, para que en caso de que haya sido por motivos de seguridad, se prevenga a sus proveedores de servicios y/o asociados de negocio.
|
| 8.3 Administración de personal.
|
| La empresa debe mantener una lista de empleados permanentes actualizada. Asimismo, debe realizar y mantener actualizados los registros de afiliación a instituciones de seguridad social y demás registros legales de orden laboral.
En el caso de que la empresa cuente con personal contratado por sus socios comerciales y labore dentro de las instalaciones, deberá asegurarse de que cumplan con los requerimientos establecidos para el resto de sus empleados.
|
| Respuesta:
| Notas Explicativas:
|
| | Indique si la empresa cuenta con un sistema o base de datos actualizada, tanto del personal empleado directamente, como aquel contratado a través de una empresa proveedora de servicios.
- Este personal, deberá estar contratado de acuerdo con las leyes y reglamentos de orden laboral vigentes.
|
-
Seguridad de la información y documentación.
Deben existir medidas de prevención para mantener la confidencialidad e integridad de la información y documentación generada por los sistemas de la empresa, incluyendo aquellos utilizados para el intercambio de información con otros integrantes de la cadena de suministros. Asimismo, deben existir políticas documentadas que incluyan las medidas contra su mal uso.
9.1 Clasificación y manejo de documentos.Deben existir procedimientos para clasificar documentos de acuerdo a su sensibilidad y/o importancia. La documentación sensible e importante debe ser almacenada en un área segura que solamente permita el acceso a personal autorizado. Se debe identificar el tiempo de vida útil de la documentación y establecer procedimientos para su destrucción.La empresa deberá conducir revisiones de forma regular para verificar los accesos a la información y asegurarse de que no sean utilizados de manera indebida.Respuesta:Notas Explicativas:Anexe el procedimiento documentado para el registro, control y almacenamiento de documentación impresa (clasificación y archivo de documentos).Recomendación:Los procedimientos podrán incluir:a) Registro de control para entrega, préstamo, entre otros de documentación.b) Acceso restringido al área de archivos.c) Políticas de almacenamiento y clasificación.d) Un plan de seguridad actualizado que describa las medidas en vigor relativas a la protección de los documentos contra accesos no autorizados, así como contra la destrucción deliberada o la pérdida de los mismos.9.2 Seguridad de la tecnología de la información.En el caso de los sistemas automatizados, se deben utilizar cuentas individuales que exijan un cambio periódico de la contraseña. Debe haber políticas, procedimientos y normas de tecnología de informática establecidas que se deben comunicar a los empleados mediante capacitación.Deben existir procedimientos escritos e infraestructura para proteger a la empresa contra pérdidas, robo, fuga, hackeo y/o secuestro de información, así como un sistema o software establecido para identificar el abuso de los sistemas de tecnología de la información y detectar el acceso inapropiado y/o la manipulación indebida o alteración de los datos comerciales y del negocio, así como un procedimiento escrito para la aplicación de medidas disciplinarias apropiadas a todos los infractores.Respuesta:Notas Explicativas:Describa el procedimiento para archivar su información y protegerla de posibles pérdidas. Asegúrese de incluir los siguientes puntos:- Señale la frecuencia con que se llevan a cabo las copias de respaldo de la información.- Quién tiene acceso a los mismos y quién autoriza la recuperación de la información.Describa el procedimiento para la protección de sus sistemas informáticos y como garantizan la seguridad de la información, asegúrese de indicar lo siguiente:- Indique si los sistemas están protegidos bajo contraseñas y con qué frecuencia son modificadas.- Señale si existen políticas de seguridad de la información para su protección.- Indique los mecanismos o sistemas para detectar el abuso o intrusión de personas no autorizadas a sus sistemas.- Indique las políticas correctivas y/o sanciones en caso de la detección de alguna violación a las políticas de seguridad de la información.Señale si los socios comerciales tienen acceso a los sistemas informáticos de la empresa. En su caso, indique qué programas y cómo controlan el acceso a los mismos.Indique si el equipo de cómputo cuenta con un sistema de respaldo de suministro eléctrico que permita la continuidad del negocio.Los procedimientos referentes al respaldo de la información de la empresa podrán incluir:a) Cómo y por cuánto tiempo se almacenan los datos.b) Plan de continuidad del negocio en caso de incidente y de cómo recuperar la información.c) Frecuencia y localización de las copias de seguridad y de la información archivada.d) Si las copias de seguridad se almacenan en sitios alternativos a las instalaciones donde se encuentra el CPD (centro de proceso de datos).e) Pruebas de la validez de la recuperación de los datos a partir de copias de seguridad.Recomendación:Los procedimientos referentes a la protección de la información de la empresa podrán incluir:1. Una política actualizada y documentada de protección de los sistemas informáticos de la empresa de accesos no autorizados y destrucción deliberada o pérdida de la información.2. Detalle si opera con sistemas múltiples (sedes/sitios) y cómo se controlan dichos sistemas.3. Quién es responsable de la protección del sistema informático de la empresa (la responsabilidad no debería estar limitada a una persona, sino a varias, de forma que cada uno pueda controlar las acciones del resto).4. Cómo se conceden autorizaciones de acceso y nivel de acceso al sistema informático (el acceso a la información sensible debería estar limitado al personal autorizado a realizar modificaciones de la información).5. Formato de las contraseñas, frecuencia de cambios y quién proporciona esas contraseñas.6. Nombre del cortafuegos "firewall" y anti-virus utilizados (incluir lo relacionado al licenciamiento).7. Eliminación, mantenimiento o actualización de los detalles de usuario.8. Medidas previstas para tratar incidentes en caso de que el sistema se vea comprometido. -
Capacitación en seguridad y concientización.
Debe haber un programa documentado de concientización sobre amenazas establecido y mantenido por el personal de seguridad para reconocer y crear conciencia sobre las amenazas de terroristas y contrabandistas en cada punto de la cadena de suministros. Los empleados deben conocer los procedimientos establecidos en la compañía para considerar una situación y cómo denunciarla. Se debe brindar capacitación específica a los empleados en las áreas de seguridad, embarques y recibos; así como también a aquellos que reciben y abren mensajería y paquetería.
10.1 Capacitación y concientización sobre amenazas.La empresa debe contar con un programa de capacitación y concientización de las políticas de seguridad en la cadena de suministros dirigido a todos sus empleados (operativos y administrativos) y, adicionalmente, poner a su disposición material informativo respecto de los procedimientos establecidos en la compañía para considerar una situación que amenace su seguridad y saber cómo denunciarla.De igual forma, se debe ofrecer capacitación específica conforme a sus funciones para ayudar a los empleados a mantener la integridad de la carga, realizar la revisión de contenedores, remolques y/o semirremolques, recepción y revisión de mensajería y paquetería, difusión de las políticas, procedimientos y normas de tecnologías de la información (robo, fuga, hackeo y/o secuestro de información), prevención de operaciones con recursos de procedencia ilícita, reconocer conspiraciones internas, proteger los controles de acceso, así como capacitación referente a contrabando, robo de mercancía.Aunado a los programas de capacitación en seguridad, se debe incluir un programa de concientización sobre consumo de alcohol y drogas. Estos temas deben establecerse como parte de la inducción de nuevos empleados y mantener periódicamente programas de actualización.Los programas de capacitación deben fomentar la participación activa de los empleados en los controles y mecanismos de seguridad, así como mantener registros de todos los esfuerzos de capacitación que haya brindado la empresa y la relación de quienes participaron en ellos (videos, fotografías, minutas, listas de asistencia, intranet u otro sistema, material didáctico, presentaciones en PowerPoint, folletos, etc).Respuesta:Notas Explicativas:Indique si cuenta...
Para continuar leyendo
Solicita tu prueba