Política de preparación, respuesta, recuperación y resiliencia ante desastres (DPR3)

La Ciudad y el Condado de San Francisco (CCSF) requieren una política de preparación, respuesta, recuperación y resiliencia ante desastres (DPR3) centrada en la tecnología de la información con estándares claros, coherentes y alcanzables aplicables a todos los departamentos de la ciudad que garanticen la prestación de servicios públicos durante y después de un desastre. Se requiere una política DPR3 integral centrada en la tecnología de la información que oriente a los departamentos sobre cómo prepararse, responder y recuperarse con éxito de un desastre (ya sea provocado por el hombre o natural) para garantizar que CCSF esté listo para servir al público cuando ocurra un desastre.

La Ciudad y el Condado de San Francisco (Ciudad) se comprometen a prepararse para desastres naturales (por ejemplo, terremotos, inundaciones) y provocados por el hombre (por ejemplo, ciberataques, ataques activos) y cualquier variedad de incidentes que puedan afectar negativamente las operaciones comerciales de la Ciudad. Un elemento fundamental de nuestra preparación es la resiliencia de nuestros sistemas de TI, mediante la prevención y protección adecuadas de estos sistemas y sus entornos, y la capacidad de recuperarlos rápidamente cuando fallan las aplicaciones, los sistemas o los entornos de infraestructura. La Política de preparación, respuesta, recuperación y resiliencia ante desastres (DPR3) centrada en TI proporciona estándares claros, consistentes y alcanzables para la resiliencia de TI de la Ciudad, que se aplican a todos los departamentos de la Ciudad, antes, durante y después de un desastre. Estos estándares tienen como objetivo garantizar la prestación continua de servicios públicos críticos que dependen de TI en respuesta a cualquier incidente.

Propósito y alcance

La Política DPR3 requiere que todos los departamentos de la Ciudad desarrollen, prueben y mantengan un plan de continuidad de operaciones enfocado en TI (IT COOP), también llamado Plan de contingencia de TI para todos los sistemas/aplicaciones de TI críticos administrados y respaldados por los departamentos de la ciudad para satisfacer las necesidades de las operaciones del sistema crítico en caso de una interrupción.
Los objetivos de IT COOP incluyen:

1. Salvaguardar y restaurar datos
2. Protección de hardware, software e instalaciones
3. Reanudación de procesos comerciales críticos a través de una estrategia de recuperación de conmutación por error manual/automatizada y de alta disponibilidad

Declaración de política

La Política DPR3 requiere que todos los departamentos:

1. Designar un enlace de COOP/DR de TI y/o Coordinador de preparación para desastres (DPC) para coordinar la planificación e implementación de los requisitos de la política DPR3
2. Identificar y evaluar la resiliencia de los sistemas críticos
3. Adoptar e implementar un marco de TI COOP del Instituto Nacional de Normas y Tecnología (NIST)
4. Revisar y actualizar anualmente el COOP de TI del departamento y los Planes de Recuperación ante Desastres (DRP) para cada sistema crítico dos veces al año.
5. Ejercite el COOP de TI al menos una vez al año y realice una prueba de recuperación ante desastres (DR) activa de cada sistema crítico dos veces al año.
6. Los jefes de departamento son responsables de garantizar el cumplimiento de esta política.

Aprobado el 15 de noviembre de 2018