Documento de Seguridad de la Información Corporativa del SAS

Transcripción

1 Documento de Seguridad de la Información Corporativa del SAS Autor: UGRD Versión: 01.07b Fecha: 14/10/2011 Página 1 / 33

2 Documento de Seguridad de la Información Corporativa del SAS Comunidad Autónoma de Andalucía Consejería de Salud/Servicio Andaluz de Salud Dirección General/Órgano/Organismo/Entidad Hoja de Control de Modificaciones Registro de cambios Fecha Autor Versión Referencia de cambios Primer Documento de Seguridad consensuado S.A.S. 1 Documento de Seguridad Nivel Alto Documento de Seguridad Nivel Medio Documento de Seguridad Nivel Básico Página 2 / 33

3 Fecha Autor Versión Referencia de cambios Unificación de los tres documentos (alto, medio y básico) Unificación en un solo documento de toda la política de seguridad de la información, sea de carácter personal o no. Revisión de procedimientos: Procedimientos de Declaración de Ficheros de Carácter Personal Ejercicio de Derechos de acceso, Rectificación, Cancelación y Oposición de Datos de Carácter Personal Relaciones contractuales con empresas externas Registro de Incidencias de Seguridad de la Información Gestión de Soportes Copias de Respaldo y Recuperación Descripción del Sistema de Acceso a la Información Corporativa Control de Accesos a la Información Corporativa Registro de Accesos Actualización del estado de declaración de ficheros (Anexo C) Actualización seguridad física de C.P.D. (Anexo D) Inclusión guía de consejos de protección de nuestros sistemas contra virus /10/2009 UGRD Revisión de los Formularios para el derecho de Acceso, Rectificación y Cancelación Revisión Jurídica del Documento Copias de Seguridad en Centrales Manual de comportamiento de los empleados públicos en el uso de los Sistemas Informáticos y redes de comunicaciones (Anexo F). Actualización del Documento de Seguridad del S.A.S Actualización del Documento de Seguridad del S.A.S Reestructuración del documento y adecuación al RD 1720/07 Página 3 / 33

4 Fecha Autor Versión Referencia de cambios 04/01/10 UGRD Se eliminan los plazos trimestrales no recogidos en el reglamento. Se elimina el primer párrafo del apartado Comisión de Seguridad Se añaden apuntes surgidos en la 4ª sesión del Taller de Formación de Formadores del /06/10 UGRD Se añade la posibilidad de que el RdF delegue la recepción de las medidas correctoras del RdS en la Comisión de Seguridad. Se añade la posibilidad de que el RdS presente las medidas correctoras surgidas de un informe de auditoría a la Comisión de Seguridad Revisores Nombre Versión Aprobada Posición Fecha Auditores SAS STI SAS Asesoría Jurídica Distribución Nombre Servicio Andaluz de Salud Grupo de Auditores del SAS Posición Dirección de Proyecto Equipo de Trabajo Propiedades del documento Propiedad Detalle Título Documento de Seguridad de la Información Corporativa del SAS Autor UGRD Fecha de creación 10/08/2009 Última actualización Página 4 / 33

5 Índice 1 Política de Seguridad Objeto del documento Ámbito de aplicación Ámbito funcional Ámbito personal Ámbito material 9 4 Definiciones Recursos protegidos Organización de la Seguridad Funciones y obligaciones del personal Definición de perfiles Todo el personal Responsable del Fichero Responsable de Seguridad Responsable de Sistemas y Tecnologías de la Información Administradores de BBDD/Sistemas/Red Responsable Funcional de la Aplicación/Fichero Encargado del Tratamiento Responsable de Seguridad Física Consecuencias del incumplimiento de las funciones y obligaciones del personal Comisión de Seguridad de la Información Organigrama 30 7 ANEXOS GENERALES: Normas y procedimientos de seguridad Anexo A.Procedimiento para información al paciente 32 Anexo B.Procedimiento para el ejercicio de los derechos de oposición, acceso, rectificación o cancelación de datos de carácter personal 32 Anexo C.Procedimiento para facilitar información a familiares y allegados. Consentimiento informado. 32 Anexo D.Procedimiento de Relaciones Contractuales con Empresas Externas con Acceso a Información Corporativa 32 Anexo E.Procedimiento de notificación de Incidencias de Seguridad de la Información Corporativa 32 Anexo F.Procedimiento de Acceso al Sistema de Información 32 Anexo G.Descripción del uso del Sistema de Información Corporativa 32 Anexo H.Procedimiento de Gestión de Soportes 32 Anexo I.Medidas y tratamiento de ficheros soporte papel 32 Anexo J.Medidas de seguridad en el uso del correo electrónico, Fax e impresiones remotas 32 Anexo K.Régimen de trabajo fuera de las instalaciones de la ubicación del fichero 32 Anexo L.Acceso a datos a través de redes de comunicación 32 Anexo M.Medidas para el tratamiento de ficheros temporales 32 Anexo N.Medidas para el tratamiento de ficheros departamentales 32 Anexo O.Alta de operadores. Procedimiento de emergencia. 32 Anexo P.Directrices relativas al tratamiento de los datos para minimizar el riesgo en entornos desprotegidos 32 Anexo Q.Plan de emergencia y evacuación 32 Anexo R.Referencias Legales 32 8 ANEXOS TÉCNICOS: Normas y procedimientos de seguridad Página 5 / 33

6 Anexo T1.Definición de medidas de seguridad en locales y equipamiento 33 Anexo T2.Procedimientos de Respaldo y Recuperación 33 Anexo T3.Registro de Accesos 33 Anexo T4.Controles periódicos de verificación del cumplimiento 33 Anexo T5.Requisitos No Funcionales para el desarrollo seguro de software 33 Anexo T6.Soporte remoto. 33 Anexo T7.Procedimiento de Declaración de Ficheros 33 Anexo T8.Procedimientos de Revisión 33 Anexo T9.Descripción de los Sistemas de Información 33 Anexo T10.Estructura de los ficheros Ficheros lógicos vs. Físicos 33 Anexo T11.Encargados del Tratamiento 33 Anexo T12.Autorizaciones del Responsable del Fichero 33 Anexo T13.Relación del personal que autoriza accesos: Responsables Funcionales de Aplicación 33 Anexo T14.Procedimiento para el Registro de Entrada/Salida de soportes 33 Anexo T15.Procedimiento para el Registro, Gestión y Respuesta de Incidencias 33 Anexo T16.Nombramientos 33 Anexo T17.Medidas tomadas en el traslado de soportes digitales para evitar pérdidas, accesos indebidos y similares 33 Anexo T18.Medidas para la Transmisión de datos a través de redes electrónicas cifradas 33 Anexo T19.Medidas de seguridad en el uso del correo electrónico, Fax e impresiones remotas 33 Anexo T20.Procedimiento General de Información al Personal 33 Anexo T21.Plan de Continuidad de Negocio 34 Anexo T22.Comisión de Seguridad de la Información 34 Anexo T23.Herramientas de cifrado corporativa 34 Anexo T24.Registros 34

7 1 Política de Seguridad En el SERVICIO ANDALUZ DE SALUD confluyen aspectos sanitarios, personales, tecnológicos, financieros, de imagen, etc. Todos estos aspectos se materializan en proyectos, ficheros personales, informes, planes estratégicos, edificios, equipos, etc., que constituyen su patrimonio (bienes tangibles e intangibles), el cual es necesario preservar para el óptimo servicio al ciudadano, además de que su quebranto pueda tener graves repercusiones legales, iría contra la buena imagen, la seguridad y el funcionamiento del Sistema Sanitario. Todos estos aspectos se encuentran plasmados en documentos, materiales y equipos, instalaciones, personas, sistemas informáticos, etc. La preservación de todo lo relacionado con la información que genera el conjunto y, en determinados casos, cuyo conocimiento por terceros no es deseado, se denomina Seguridad de la Información, que al corresponder al Servicio Andaluz de Salud, adquiere el nombre de Seguridad de la Información Corporativa. En este documento de carácter interno a la organización, que es el Documento de Seguridad de la Información Corporativa del S.A.S., están definidas las reglas de actuación en el S.A.S., asegurando un adecuado equilibrio entre las necesidades de los usuarios, las exigencias de seguridad y el respeto a las leyes vigentes. La aplicación de estas reglas permitirá garantizar la protección de la información y forman parte del conjunto de medidas, controles y procedimientos destinados a cumplir con los tres aspectos básicos que son esenciales para el funcionamiento de la empresa, el cumplimiento de la legalidad vigente y la imagen de la propia empresa: confidencialidad, integridad y disponibilidad. Todos los empleados deberán colaborar en el cumplimiento de las reglas de Política de Seguridad de la Información Corporativa que aquí se regulan, y como consecuencia de ello asumen un deber de colaboración con el S.A.S. en el interés de que no se produzcan alteraciones o violaciones de estas reglas. Este documento debe ser conocido por todas las personas que prestan sus servicios en el S.A.S., permitiendo conocer las obligaciones que asumen respecto del uso correcto de los recursos de la organización que dan soporte a la Información Corporativa. Estas normas se iniciaron en el mes de enero de 2003, siendo periódicamente actualizadas y cada una de las modificadas que se realicen o adendas que se incorporen al presente documento serán comunicadas a todos los empleados, mediante notificación a los centros y la inserción en la Intranet del S.A.S. Corresponde a la Dirección Gerencia del S.A.S. su aprobación. El documento actualizado y vigente será el que se encuentre en cada momento en la Intranet del S.A.S. Página 7 / 33

8 2 Objeto del documento El presente documento y sus anexos desarrollan la política de seguridad definida por el Servicio Andaluz de Salud en materia de Sistemas de Información. Responde a lo dispuesto en la Ley Orgánica 15/1999 de 13 de diciembre y concretamente a la obligación establecida en el artículo 88.1 del RD 1720/2007 de desarrollo de la citada ley, que dice así: El Responsable del Fichero o tratamiento elaborará un documento de seguridad que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información. Y además establece los métodos y procedimientos a seguir por parte del personal del S.A.S., tendentes a conseguir una adecuada protección de los Activos de Información (entre ellos los datos personales), así como su obtención, tratamiento, transmisión, etc. La Seguridad de la Información consiste en un conjunto de medidas, controles, procedimientos y acciones destinados a cumplir con los tres aspectos básicos esenciales para el buen servicio al ciudadano, el cumplimiento de la legalidad vigente y la imagen de la propia entidad: Confidencialidad: la información debe ser conocida exclusivamente por las personas autorizadas, en el momento y forma prevista. Integridad: la información tiene que ser completa, exacta y válida, siendo su contenido el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados. Disponibilidad: la información debe estar accesible y ser utilizable por los usuarios autorizados en todo momento, debiendo estar garantizada su propia persistencia ante cualquier eventualidad. Página 8 / 33

9 3 Ámbito de aplicación 3.1 Ámbito funcional Este documento se aplicará en el Servicio Andaluz de Salud respecto de sus recursos de información y conocimiento, en la extensión y detalle que se describen en el mismo. El documento hace especial hincapié en la política de seguridad definida por la organización para los ficheros que contienen datos de carácter personal, aunque dicha política se aplica a todos aquellos ficheros y recursos, protegidos o no, que contengan o traten datos automatizados, sin olvidar que la protección alcanza al tratamiento de datos no automatizados, es decir, que se encuentren en soportes físicos. 3.2 Ámbito personal La política de seguridad contenida y desarrollada en el presente documento es de obligado cumplimiento para todos los empleados del S.A.S, encargados de tratamiento que presten sus servicios en los locales del S.A.S o con acceso remoto a los sistemas de información del SAS y en general terceros autorizados. Este documento se encuentra inserto en la Intranet del S.A.S., debiéndose proceder a su lectura, y en el caso de que no se entendiesen algunos de los aspectos que en él se regulan, o tuviesen dudas sobre su contenido, deberán ponerlo en conocimiento del Director de su Centro, Área o Servicio a efecto de que estas dudas puedan ser resueltas, y, como consecuencia de ello, se alcance una mayor eficacia en el cumplimiento de las obligaciones que aquí se recogen. Por principio, todo el personal antes mencionado está obligado a guardar la debida discreción cuando hable con terceros de asuntos relacionados con ella. Todas las personas que tengan acceso a datos de Ficheros de carácter personal, bien a través del sistema informático habilitado para acceder al mismo, o bien a través de cualquier otro medio, automatizado o no, de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento. 3.3 Ámbito material Los Sistemas de Información del S.A.S. están compuestos por: el hardware, considerado como el continente o soporte informático, y los activos de Información, considerados como el contenido. En los activos de información se incluye tanto el software como los datos. Las presentes normas de seguridad son de aplicación a todo el conocimiento del S.A.S., se encuentre en formato digital, papel o cualquier otro. Asimismo, estas normas recogen aspectos de seguridad física que deben disponer aquellos lugares, instalaciones, muebles, etc. donde se almacene información sensible del S.A.S. Página 9 / 33

10 4 Definiciones Información: Expresión genérica para indicar todos los datos que pueden ser procesados por cualquier medio y que tienen un determinado valor para el S.A.S. LOPD: Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. RD 1720/2007: Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Dato de carácter personal: Cualquier información concerniente a personas físicas identificadas o identificables. (Artículo 3 LOPD). Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables. (Artículo 5.f RD 1720) Dato de carácter personal de salud: Las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se consideran datos relacionados con la salud de las personas los referidos a su porcentaje de discapacidad y a su información genética. Fichero de datos de carácter personal: Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. (Artículo 3 LOPD). De cara a su aplicación entendemos fichero como el sistema o subsistema de información (informatizado o no) útil para recoger y transformar los datos para proporcionar información. Sistema de Información Conjunto de ficheros, tratamientos, programas, soportes y en su caso, equipos empleados para el tratamiento de datos de carácter personal. (Artículo 5 RD 1720) Sistema de tratamiento: Modo en que se organiza o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrán ser automatizados, no automatizados o parcialmente automatizados. (Artículo 5 RD 1720) Responsable del Fichero o Tratamiento: Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. (Artículo 3 LOPD). Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Página 10 / 33

11 Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (Artículo 5 RD 1720) Encargado del tratamiento: La persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento. (Artículo 3.g LOPD) La persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del Responsable del Fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. Podrán ser también encargados del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados. (Artículo 5.i RD 1720) Declarante: Persona física que cumplimenta la solicitud de preinscripción y actúa como mediador entre la Agencia y el titular/responsable del Fichero. No debe necesariamente coincidir con el titular/responsable. Tratamiento de datos: Operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, visualización, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. (Artículo 3 LOPD). Afectado o interesado: Persona física titular de los datos que sean objeto del tratamiento. (Artículo 3 LOPD) Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. Bloqueo de datos: La identificación y reserva de los datos con el fin de impedir su tratamiento. Soporte informático: Objeto físico susceptible de ser tratado en un sistema de información y sobre el cuál se puede grabar o recuperar datos. Incidencia: Cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. Consentimiento del interesado: Es toda manifestación de voluntad, libre inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. (Artículo 3 LOPD). Cesión o comunicación de datos: Es toda revelación de datos realizado a una persona distinta del interesado. (Artículo 3 LOPD). Página 11 / 33

12 5 Recursos protegidos La protección de la información corporativa frente a accesos no autorizados, se deberá realizar mediante el control de todas las vías por las que se pueda tener acceso a ella. Los recursos, que por servir de medio directo o indirecto para acceder a la información corporativa, que deberán ser controlados por esta normativa son: El servicio/unidad de informática y locales donde se encuentren ubicados los ficheros o se almacenen los soportes que los contengan. El servicio/unidad de informática deberá disponer de una sala adecuada para ubicar los equipos servidores y los soportes de almacenamiento necesarios, "Sala de Servidores". Su descripción figura en el Anexo Técnico denominado Definición de medidas de seguridad en locales y equipamiento. Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al Fichero. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el que se encuentra ubicado el Fichero, descrito en el Anexo Técnico denominado Descripción de los Sistemas de Información. Resto de soportes electrónicos que contengan datos pertenecientes a los ficheros, distintos de los puestos de trabajo y servidores. Los sistemas informáticos/aplicaciones establecidos para acceder a los datos, descritos en el Anexo A, apartado 8 (Descripción del Sistema de Acceso a la Información Corporativa). Los documentos no públicos de la organización, con información de carácter personal o confidencial, en soporte no automatizado, así como las dependencias donde estos estén ubicados. El conocimiento sobre la organización que poseen los profesionales que desempeñan su actividad en la misma, plantilla o no, sujeto a vulneración del deber de secreto o a ingeniería social. Página 12 / 33

13 6 Organización de la Seguridad Bajo este epígrafe quedan recogidas las funciones y obligaciones del personal así como la estructura de seguridad de debe configurarse entre el mismo, tanto a nivel de perfiles profesionales y sus relaciones como a nivel de comités. 6.1 Funciones y obligaciones del personal Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla. El personal que realice trabajos que no impliquen el tratamiento de datos personales tendrán limitado el acceso a estos datos, a los soportes que los contengan, o a los recursos del sistema de información. Cuando se trate de personal ajeno, que realice trabajos que no implique el tratamiento de datos personales, el contrato de prestación de servicios recogerá expresamente la prohibición de acceder a los datos personales y la obligación de secreto respecto de aquellos datos que hubiera podido conocer durante la prestación del servicio. En caso de que este personal realice trabajos que sí impliquen el tratamiento de datos de carácter personal, el contrato de prestación de servicios recogerá expresamente el carácter de encargado de tratamiento y las obligaciones en materia de protección de datos adquiridas por el mismo. Las autorizaciones que el Responsable del Fichero delega en los usuarios o perfiles aquí descritos quedan recogidas en el anexo técnico Autorizaciones del Responsable del Fichero incluyéndose la personalización de las mismas en el apartado Registros, subapartado Registros de notificación de responsabilidades Definición de perfiles La definición de perfiles que a continuación se describe responde a la exigencia que marca la LOPD, por una parte, y por otra, a la necesidad de implantar en el S.A.S. una política de seguridad que abarque no solo la información de carácter personal, sino toda la información corporativa. El personal afectado por esta normativa queda clasificado en las siguientes categorías: Responsable del Fichero, persona física o jurídica de naturaleza pública o privada u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento. (Artículo 3 LOPD). Responsable de Seguridad, persona o personas a las que el Responsable del Fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables definidas en el documento de seguridad, con conocimientos sobre la normativa vigente, buenas prácticas de seguridad y criterios de auditoría de sistemas y tecnologías de la información. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que queda recogida en el anexo técnico Nombramientos del presente documento. Página 13 / 33

14 En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al Responsable del Fichero o al encargado del tratamiento de acuerdo con este reglamento. Responsable de Sistemas y Tecnologías de la Información, será la persona o entidad administrativa del propio organismo encargada de las tecnologías de la Información y Comunicaciones corporativas. También puede acumular las funciones de Responsable de Seguridad. Responsable Funcional de la Aplicación/Fichero, persona física u órgano específico del S.A.S., que por delegación del Responsable del Fichero tiene bajo su responsabilidad todo lo concerniente a la recogida, grabación, conservación, elaboración, modificación, visualización, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Entre sus competencias también se encuentra la de conceder, alterar, o anular el acceso autorizado a los datos. Mantiene contacto diario con la aplicación, conoce su funcionamiento, vela por la seguridad de la misma y trabaja en coordinación con el Responsable de Sistemas y Tecnologías de la Información. Encargado del Tratamiento, la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos por cuenta del Responsable del Fichero. (Artículo 3 LOPD). Figura creada para el caso de contratación a terceros del tratamiento de los datos. Todas las empresas contratadas por el S.A.S. y que dispongan de cualquier base de datos del S.A.S. para el trabajo que tienen que realizar, tienen la consideración de Encargados del Tratamiento. Administradores de Bases de Datos/Red/Sistema, encargados de administrar o mantener el entorno operativo de la información corporativa. Este personal, será dependiente del Área de Sistemas y Tecnologías ya que por sus funciones pueden utilizar herramientas de administración que permitan el acceso a los datos protegidos. Deberán además atenerse a aquellas normas, más extensas y estrictas, que se referencian en este documento, y que atañen, entre otras, al tratamiento de los respaldos de seguridad, normas para el alta de usuarios y contraseñas, así como otras normas de obligado cumplimiento en la unidad administrativa a la que pertenece la información. Sus funciones pueden ser acumuladas por el Responsable de Sistemas y Tecnologías de la Información. Responsable de seguridad física: persona física u órgano específico del S.A.S. cuyo cometido es asegurar la integridad, confidencialidad y disponibilidad del equipamiento y las instalaciones de la organización donde se alojan los activos de información, así como velar por la integridad de las personas que se encuentra en las instalaciones. Bajo su supervisión estarán los sistemas anti-incendios, sistemas de vigilancia y control, planes de emergencia y evacuación, etc. debiendo estar en contacto con el Responsable de Seguridad para asegurar el cumplimiento del presente documento y sus anexo. Usuarios, o personal que usualmente utiliza los sistemas de acceso a la información corporativa Todo el personal Página 14 / 33

15 Todo el personal está obligado a conocer el Documento de Seguridad de la Información Corporativa. Además de lo que se especifica a continuación y, de manera más específica, es de obligado cumplimiento el llevar a cabo la RESOLUCIÓN de 27 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía, adjuntado como anexo general de este documento. Las funciones y obligaciones que afectan a todo el personal son: Confidencialidad de la información 1. Guardarán la debida reserva sobre las materias clasificadas a las que hayan tenido acceso en razón a su puesto de trabajo u otra circunstancia. 2. Impedirán el acceso de personas no autorizadas al conocimiento de información, en cuya gestión, tramitación o custodia participe. 3. El Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. (Artículo 10 LOPD) 4. Queda prohibido extraer datos de un fichero de datos de carácter personal ya existente, o crear un fichero de datos personales aprovechando los datos de un fichero ya existente, sin la autorización del Responsable del Fichero. 5. Queda prohibido utilizar archivos con datos personales que el S.A.S. no haya comunicado y registrado ante la Agencia de Protección de Datos. 6. Respecto de aquellos archivos que el S.A.S. haya comunicado y registrado en la Agencia de Protección de Datos, se prohíbe cruzar información relativa a datos de diferentes ficheros o servicios con el fin de establecer perfiles de personalidad, hábitos de consumo o cualquier otro tipo de preferencias, sin la autorización expresa del Responsable del Fichero. Salvaguarda y protección de las contraseñas personales 1. Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá notificarlo como incidencia y proceder a su cambio o que ésta sea cambiada por el Administrador de Red/Sistemas. 2. Solamente para aquellos casos excepcionales en los que sea necesario continuar con las funciones que realizaba la persona ausente (debido a una baja o ausencia temporal no prevista), será el responsable del Centro, Área, o en caso de ficheros de carácter personal, el Responsable Funcional de la Aplicación/Fichero, el que podrá solicitar a los administradores el acceso a sus datos, dejando constancia en la aplicación de gestión de incidencias del Sistema de Información. 3. Toda clave cumplirá unas normas mínimas, según detalla en el Anexo F, apartado del Procedimiento de Acceso al Sistema de Información. 4. En el caso de que el Administrador de Sistemas solicite la contraseña/password para tareas de mantenimiento, la misma deberá ser cambiada inmediatamente después que se termine con dichas tareas. Puesto de trabajo Página 15 / 33

16 1. El puesto de trabajo estará bajo la responsabilidad de un usuario autorizado que garantizará que la información que muestra no pueda ser visible por personas no autorizadas. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. 2. Todos los puestos de trabajo estarán configurados de forma que el tiempo máximo que una máquina permanecerá desbloqueada será de 60 minutos a partir del momento en que se usó por última vez. Obsérvese que esto no entra en conflicto con el hecho de que el usuario pueda tener configurado un tiempo menor de bloqueo. 3. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos correspondientes, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos. 4. Queda expresamente prohibida la conexión desde los puestos de trabajo en los que se realiza el acceso a la información corporativa, a redes o sistemas exteriores a través de dispositivos que no estén controlados por el sistema de seguridad de la Red Corporativa de Transmisión de Datos de la Junta de Andalucía. En concreto módem, enlaces de radiofrecuencia, tarjetas inalámbricas, routers o bridges WIFI. La revocación de esta prohibición será autorizada por el Responsable del Fichero, quedando constancia como incidencia. 5. Los puestos de trabajo desde los que se tiene acceso a la información corporativa tendrán una configuración fija en sus aplicaciones, sistemas operativos que sólo podrá ser cambiada por el Administrador de Sistema, el cual deberá solicitar autorización al Responsable de Sistemas Y Tecnologías, existiendo unas normas de unificación de todos los terminales informáticos. Por tanto queda prohibida la instalación, por parte del usuario, de cualquier tipo de Aplicaciones/Programas (software) en los puestos de trabajo, así como borrar cualquiera de los programas instalados. 6. Queda prohibido abrir los equipos o máquinas (hardware) para realizar cualquier tarea sobre ellos sin autorización previa y por escrito del Administrador de Red/Sistemas. Asimismo tampoco se podrán agregar o retirar partes o componentes de los mismos. 7. No se podrán retirar los equipos de cualquier edificio del S.A.S. sin previa autorización escrita. Sistema Informático y Telemático de Acceso a la Información 1. Todos los recursos telemáticos e informáticos del S.A.S., incluido por tanto Internet y el correo electrónico, serán usados con fines profesionales directamente relacionados con el puesto de trabajo del usuario. 2. Queda estrictamente prohibido el uso de programas informáticos sin la correspondiente licencia, así como el uso, reproducción, cesión, transformación o comunicación pública de cualquier tipo de obra o invención protegida por la propiedad intelectual o industrial. Otros Recursos El empleado, en el momento en que finalice su contrato con el S.A.S. deberá entregar a los responsables de los Centros, Áreas o Servicios cualesquiera dibujos, anotaciones, memorandos, especificaciones, esquemas, fórmulas, y documentos, junto con todas las copias de los mismos, y cualquier otro material que contenga o revele cualquier Invención de la Empresa, Información de Terceras Partes o Información clasificada del S.A.S. Asimismo deberá devolver todos aquellos instrumentos de trabajo que le han Página 16 / 33

17 sido puestos a disposición por la compañía: teléfono móvil, tarjetas de acceso a edificios y CPD, ordenadores portátiles, etc., que son propiedad del S.A.S. Gestión de incidencias 1. Es obligación de todo el personal notificar cualquier incidencia que afecte a la seguridad de los datos, o presunción/sospecha de la misma, que se produzca en los sistemas de información (automatizados o no) y recopilar toda la información posible para optimizar el procedimiento de detección del problema. 2. El conocimiento y la no notificación de una incidencia por parte de un usuario será considerada como una falta del mismo contra la Seguridad del Fichero por parte de éste. Gestión de soportes y documentos 1. Los soportes que contengan datos personales y/o confidenciales deben ser gestionados siguiendo escrupulosamente el procedimiento contenido en el Anexo H Procedimiento de Gestión de Soportes, prestando especial atención a la creación, identificación, inventario, entrada/salida, acceso, almacenamiento y destrucción. 2. Los documentos que contengan datos personales y/o confidenciales deben ser gestionados siguiendo escrupulosamente las indicaciones del Anexo I Medidas y tratamiento de ficheros soporte papel. Copias de Respaldo y Recuperación El Administrador de Red/Sistemas/Base de Datos se responsabiliza de realizar las copias de seguridad de los servidores, y en ningún caso de los ordenadores personales. Esto implica que la información corporativa debe siempre guardarse en el espacio de servidor habilitado para los profesionales y/o Áreas concretas. Ejercicio de Derechos ARCO de Datos de Carácter Personal En cumplimiento del artículo 25.6 del RD 1720/2007, a saber: <<El Responsable del Fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.>> Para tal fin el presente documento dispone del Anexo B Procedimiento para el ejercicio de derechos ARCO de datos de carácter personal Responsable del Fichero FUNCIONES 1. El Responsable del Fichero es el encargado jurídicamente de la seguridad del fichero y de las medidas establecidas en el presente documento, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones. (Artículos 89.1 y 89.2 RD 1720/2007). 2. Designará al Responsable de Seguridad. (Artículo 95 RD 1720/2007). Página 17 / 33

18 3. Notificará a los Usuarios Responsables Funcionales de la Aplicación/Fichero, Responsable de Sistemas y Tecnologías de la Información, las responsabilidades que asumen al tomar posesión de sus cargos en lo que respecta a la Seguridad de la Información. Identificación Internamente esta figura se concreta en el titular del centro u órgano directivo o representante legal del mismo del que dependa el fichero, a saber: - Dirección Gerencia del SAS - Direcciones Generales (asistencia sanitaria, personal y desarrollo profesional y económica) - Secretaría General, Los Directores Gerentes de los hospitales, áreas de gestión sanitaria, distritos y centros de transfusión son los responsables de los ficheros bajo su ámbito. OBLIGACIONES Sobre el Responsable del Fichero recaen las principales obligaciones establecidas por la LOPD y le corresponde velar por el cumplimiento de la Ley en su organización. A continuación se recogen las obligaciones que afectan al responsable. Política de Seguridad de la Información Corporativa Implantar y actualizar las medidas de seguridad establecidas en este documento y garantizar la difusión de este Documento, a todo el personal relacionado con la información corporativa. Declaración de Ficheros de Carácter Personal 1. Solicitará a la Consejería de Salud la creación y publicación en BOJA de los ficheros que contengan datos de carácter personal y que sean necesarios para el funcionamiento del S.A.S. 2. Notificará ante el Registro General de Protección de Datos de la Agencia de Protección de Datos, los ficheros creados mediante Orden de la Consejería y publicados en el BOJA, para que se proceda a su inscripción. Principios de protección de datos: calidad, confidencialidad, información y consentimiento 1. Asegurarse de que los datos sean adecuados y veraces, obtenidos lícita y legítimamente y tratados de modo proporcional a la finalidad para la que fueron recabados. 2. Garantizar el cumplimiento de los deberes de secreto y seguridad. 3. Informar a los titulares de los datos personales en la recogida de éstos. 4. Obtener el consentimiento para el tratamiento de los datos personales. Ejercicio de derechos de acceso, rectificación, cancelación y oposición de Datos de Carácter Personal El Responsable del Fichero habilitará los mecanismos para cumplir el procedimiento de ejercicio del derecho de oposición al tratamiento, acceso, rectificación y cancelación que la Ley otorga, en los casos que proceda, dejando registro de dicha solicitud. Página 18 / 33

19 Relaciones con terceros Asegurar que en sus relaciones con terceros que le presten servicios, que comporten el acceso a datos personales, se cumpla lo dispuesto en la LOPD. Cumplimiento normativo Cumplir, cuando proceda, con lo dispuesto en la legislación sectorial que le sea de aplicación. Gestión de Soportes y documentos 1. Cualquier movimiento total o parcial de un fichero de carácter personal, ya sea en soporte físico o transferencia telemática, fuera de los locales donde esta ubicado el fichero deberá ser autorizada por el Responsable del Fichero. (Artículo 92.2 del RD 1720/2007). 2. El Responsable del Fichero podrá delegar esta autorización del movimiento en el Responsable Funcional de la Aplicación/Fichero. Dicha delegación consta en el Anexo Técnico Autorizaciones del Responsable del Fichero, pudiendo incluirse la personalización de las mismas en el Anexo Técnico Registros, subapartado Registros de notificación de responsabilidades. Copias de respaldo y recuperación 1. El Responsable del Fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. El Responsable del Fichero podrá delegar esta obligación en el Responsable de Seguridad 2. Para poder proceder a la recuperación de información, a partir de las copias de respaldo, se tendrá que recabar la autorización previa del Responsable del Fichero que podrá delegar esta obligación en el Responsable Funcional de la Aplicación/Fichero (Artículo RD 1720/2007). 3..Dichas delegaciones constarán en el en el Anexo Técnico Autorizaciones del Responsable del Fichero, pudiendo incluirse la personalización de las mismas en el Anexo Técnico Registros, subapartado Registros de notificación de responsabilidades. Registro de incidencias 4. El Responsable del Fichero se encargará de autorizar la ejecución de los procedimientos de recuperación de datos. 5. El Responsable del Fichero podrá delegar esta obligación en el Responsable Funcional de la Aplicación/Fichero. Dicha delegación constará en el Anexo Técnico Autorizaciones del Responsable del Fichero, pudiendo incluirse la personalización de las mismas en el Anexo Técnico Registros, subapartado Registros de notificación de responsabilidades. Control de acceso 1. El Responsable del Fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. Esta obligación puede ser delegada en el Responsable Funcional de la Aplicación /Fichero. 2. El Responsable del Fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Obligación que podrá ser delegada en el Responsable de Seguridad. Página 19 / 33

20 3. Exclusivamente el personal autorizado para ello en el documento de seguridad, generalmente los Responsables Funcionales de la Aplicación/Fichero, podrá conceder, alterar o anular el acceso autorizado sobre los recursos, conforme a los criterios establecidos por el Responsable del Fichero. Controles periódicos de verificación del cumplimiento 1. Al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad y sus anexos o las exigencias del reglamento de desarrollo de la LOPD, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el Responsable de Seguridad, quien propondrá al Responsable del Fichero las medidas correctoras correspondientes. (Artículo 96 y 110 RD 1720/2007). 2. El Responsable del Fichero podrá delegar esta obligación en la Comisión de Seguridad de la Información. Dicha delegación constará en el Anexo Técnico Autorizaciones del Responsable del Fichero. Para casos de ausencia del Responsable del Fichero, éste debe haber designado el cargo o puesto de la organización que los sustituya Responsable de Seguridad de la Información FUNCIONES 1. Sus funciones serán las de coordinar y controlar las medidas definidas en el documento de seguridad, sirviendo al mismo tiempo de enlace con el Responsable del Fichero. (Artículo 95 RD 1720/2007). 2. En el marco de la Comisión de Seguridad de la Información, desempeñará labores de Secretario de la misma. 3. Cualesquiera otras funciones encomendadas por la Comisión de Seguridad de la Información o delegadas por el Responsable del Fichero, destinadas a preservar o reforzar las medidas de seguridad y control de los ficheros. Identificación Internamente esta figura se concreta en un técnico de tecnologías de la información, con conocimientos sobre la normativa vigente, buenas prácticas de seguridad y criterios de auditoría de sistemas y tecnologías de la información. Debe existir un Responsable de Seguridad, tanto para hospitales como áreas de gestión, distritos y centros de transfusión. En ausencia de Direcciones / Subdirecciones / Responsables de Informática, el Responsable Funcional de Aplicación de mayor rango asumirá las funciones del Responsable de Seguridad. OBLIGACIONES Política de Seguridad de la Información Corporativa Página 20 / 33

21 1. El Responsable de Seguridad coordinará la puesta en marcha de las medidas de seguridad, colaborará con el Responsable del Fichero en la difusión y el cumplimiento del Documento de Seguridad. 2. Deberá mantenerlo actualizado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. 3. Deberá adecuar en todo momento el contenido del mismo a las disposiciones vigentes en materia de seguridad de datos, y asegurar que el nuevo documento llega a todo el personal afectado. Declaración de Ficheros de Carácter Personal 1. El responsable de Seguridad analizará la viabilidad de crear un nuevo fichero o solicitar las modificaciones a ficheros ya declarados. 2. Tanto para la creación del fichero, como para la modificación o supresión del mismo, se debe seguir el procedimiento de Declaración de Ficheros de Carácter Personal incluido en el Anexo Técnico El Responsable de Seguridad mantendrá siempre actualizado el Anexo Técnico 7 de este documento, concretamente el subapartado donde se relacionan los ficheros que contengan datos de carácter personal, con indicación de las referencias: escrito de remisión a la Consejería de Salud, publicación en BOJA, remisión a la Agencia de Protección de datos, etc. Ejercicio de derechos de oposición, acceso, rectificación o cancelación de Datos de Carácter Personal 1. El Responsable de Seguridad vigilará el correcto cumplimiento en cuanto a la notificación del tratamiento de datos de carácter personal al afectado, según establece el procedimiento para el ejercicio de derechos de oposición, acceso, rectificación y cancelación de datos de carácter personal incluido en el Anexo General B. 2. En caso de recibir una petición, por parte de la Unidad de Atención al Ciudadano, para analizar una solicitud de acceso, rectificación, cancelación u oposición, emitirá una informe vinculante al respecto o contactará con la Comisión de Seguridad de la Información para tal fin. 3. El Responsable de Seguridad controlará si se están gestionando adecuadamente las reclamaciones, los tiempos y si pueden ser causa de algún tipo de sanción por parte de la Agencia de Protección de Datos. Gestión de incidencias 1. El Responsable de Seguridad implantará las medidas necesarias, según los procedimientos de notificación y registro de Incidencias de Seguridad de la Información Corporativa, el primero de los cuales (notificación) es parte de los anexos generales y por tanto estará a disposición de todos los usuarios, mientras que el segundo (registro) estará a disposición de los Responsables Funcionales de la Aplicación/Fichero y del Administrador de Red/Sistemas/BD. 2. El Responsable de Seguridad, analizará periódicamente las incidencias registradas, para independientemente de las medidas particulares que se hayan adoptado en el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias en el futuro. 3. Se encargará de evaluar el impacto y la criticidad de las incidencias de seguridad junto con el Responsable Funcional de Aplicación afectado y el Responsable de Tecnologías de la Información y la Comunicación. En función de dicha evaluación procederá al registro de la incidencia. Gestión de soportes y documentos Página 21 / 33

22 1. Definirá las medidas de seguridad necesarias en la creación, preparación, almacenamiento, entrada y salida, y destrucción de soportes y documentos, en la medida que así lo permita o requiera el presente documento. 2. El Responsable de Seguridad, verificará periodicamente el cumplimiento de lo previsto en los procedimientos de Gestión de Soportes y de Medidas y Tratamientos de Ficheros Soporte Papel. Copias de Respaldo y Recuperación 1. Al Responsable de Seguridad se le podrá delegar por el Responsable del Fichero la supervisión de los soportes de grabación de las copias de respaldo y de los procedimientos de recuperación, así como de las relaciones con las empresas externas (siempre que éstas lleven a cabo labores de copias de respaldo y desarrollen la labor de custodia y aseguramiento de las mismas), toda vez que se cumpla con las garantías contractuales y legales necesarias para garantizar la seguridad de las copias de respaldo, marcando las responsabilidades de cada parte en estas funciones. 2. Mediante delegación del Responsable del Fichero, podrá participar en la recuperación de los datos en la forma descrita en el procedimiento de respaldo y recuperación. 3. Por delegación del Responsable del Fichero, podrá realizar la auditoría del sistema de copias de respaldo y del procedimiento de recuperación, según establece el procedimiento correspondiente, cada seis meses, documentando el resultado. Sistema de Información Revisará, conjuntamente con el Responsable de Sistemas y Tecnologías de la Información, la pertinencia o no de actualizar los sistemas en base a las recomendaciones de los fabricantes y la política de seguridad corporativa. En caso de considerarse no procedente la actualización, debe documentarse motivadamente tal decisión. Controles de Accesos 1. El Responsable de Seguridad, verificará que los Responsables Funcionales de las Aplicación/Fichero han comprobado que: La lista de usuarios autorizados (Anexo T14) se corresponde con los usuarios que realmente deben estar autorizados para el acceso a la aplicación. Los permisos concedidos a los usuarios autorizados se corresponden a la funciones encomendadas. Registro de Accesos 1. El Responsable de Seguridad y Responsable de Sistemas y Tecnologías de la Información son los responsables de determinar los registros de accesos que se llevarán a cabo en el S.A.S., asegurando el cumplimiento del artículo 103 del RD 1720/2007. El procedimiento correspondiente se describe en el Anexo Técnico Establecerán mecanismos que permitan identificar los accesos realizados en el caso de documentos que puedan ser utilizados por múltiples usuarios (art RD 1720/2007). 3. Los mecanismos que permiten el registro de accesos estarán bajo el control directo del Responsable de Seguridad competente sin que deba permitir la desactivación ni la manipulación de los mismos en ningún caso. (Artículo RD 1720/2007) 4. El Responsable de Seguridad competente revisará al menos una vez al mes la información de control registrada elaborando un informe de las revisiones realizadas y los problemas detectados. (Artículo RD 1720/2007) Página 22 / 33