POLITICA DE SEGURIDAD INFORMÁTICA Sistema de Gestión de la Calidad Bajo la Norma Técnica de Calidad en la Gestión Pública NTCGP 1000:2009

Documentos relacionados
Guía para la Administración de Riesgos

PROCEDIMIENTO DE MANTENIMIENTO PREVENTIVO, CORRECTIVO Y SOPORTE TÉCNICO

MACROPROCESO GESTIÓN DE TECNOLOGÍA DE LA INFORMACIÓN PROCESO GESTIÓN DE NIVELES DE SERVICIO TABLA DE CONTENIDO

PROCEDIMIENTO DE CONTROL DE REGISTROS

Tema 3. Análisis de riesgo. Tema 3. Análisis de riesgo

MANUAL DE PROCEDIMIENTOS DEPARTAMENTO DE ACTUALIZACIÓN Y DESARROLLO TECNOLÓGICO

GUÍA DE SOPORTE A USUARIOS Preguntas Frecuentes.

PROCESO DE GARANTÍAS

PROCESO y/o SUBPROCESO: INFRAESTRUCTURA TECNOLÓGICA INICIO. Sistema de Gestión de la Calidad VAF Vicerrectoría Administrativa y Financiera

INSTITUTO DE EDUCACIÓN SUPERIOR TECNOLÓGICO HUAYCÁN (Decreto Supremo No ED y Resolución Directoral No ED)

MANUAL VERSION: 01 MANTENIMIENTO Y SOPORTE TÉCNICO DE LA INFRAESTRUCTURA TECNOLÓGICA. PROCESO GESTION DE LA EDUCACIÓN PAGINA: 1 de 5

obit Objetivos de Control para la Información y Tecnologías Relacionadas

RECURSOS INFORMATICOS Y AUDIOVISUALES PROCESO TIPO DE PROCESO RESPONSABLE DE PROCESO RECURSOS REQUISITOS LEGALES NTC-GP 1000:2004

Control de Documentos y Registros CODIGO PROC CDR 07

Antes de imprimir este documento piense en el medio ambiente!

Instructivo para la Administración y Asignación de cuentas de Correo electrónico

PROCESO DE VENTA DE EQUIPOS, PARTES, SUMINISTROS Y ACCESORIOS DE TECNOLOGÍA INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES

DIRECCIÓN NACIONAL DE TALENTO HUMANO INSTRUCTIVO PARA PROCESAR NOVEDADES EN LA HOJA DE VIDA DE SARA

DOTACIÓN Y MANTENIMIENTO

Instituto Nacional de Defensa Civil INDECI

POLÍTICAS Y PROCEDIMIENTOS. Grupo: Gestión de Seguridad y Salud Laboral Proceso: Gestión del Talento Humano. Descripción del cambio

Análisis y Diseño de Sistemas Departamento de Sistemas - Facultad de Ingeniería

SISTEMA INTEGRADO DE GESTIÓN

PROCESO GESTIÓN TECNOLÓGICA PROCEDIMIENTO PARA LA GESTIÓN DE RESTAURACION DE COPIAS DE SEGURIDAD

PROCEDIMIENTO GESTION CONVENIOS BANCARIOS DEL PROCESO ADMINISTRACIÓN FINANCIERA

A) Dentro del numeral 1.5 DEFINICIÓN DE LOS SERVICIOS A CONTRATAR, se modificará la estructura del equipo de trabajo así:

ELABORACIÓN Y SEGUIMIENTO DEL PLAN DE ACCIÓN

Líder del Proceso Sede : JEFATURA DE TIC

Programado 3 días 15 días 7 días 3 días 3 días 3 días 3 días 7 días 7 días 5 días 3 días 5 días 15 días 5 días 3 días 7 días 7 días 10 días 3 días

ATENCIÓN DE REQUERIMIENTOS DE TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES Y SISTEMAS ESPECIALES

BIBLIOTECA DIGITAL DEL MUSEO DE LA CULTURA LABORAL Y ORAL DE LA REGIÓN ANDINA Proyecto

PROCEDIMIENTO VERSION: 04 ELABORACION Y CONTROL DE DOCUMENTOS PROCESO DE PLANIFICACION DEL SISTEMA INTEGRADO DE GESTION

Procedimiento de Diseño y Mantenimiento de Base de Datos PROCEDIMIENTO DE DISEÑO Y MANTENIMIENTO DE BASE DE DATOS DEPARTAMENTO DE INFORMATICA

PROCEDIMIENTO DE CONTROL DE REGISTROS

Unidad de Control y Evaluación de la Gestión Pública Encuesta para la evaluación del Control Interno Institucional

PROCESO GESTIÓN DE BIENES E INFRAESTRUCTURA PROCEDIMIENTO PARA VERIFICACIÓN FISICA DE INVENTARIOS SENADO DE LA REPÚBLICA

CARACTERIZACIÓN DE PROCESO GESTIÓN DOCUMENTAL

TENDENCIAS CERO PAPEL Cumplimiento de la política de Eficiencia Administrativa DIGITALIZACIÓN CERTIFICADA. Certicámara.

DEPARTAMENTO DE INFORMATICA. Versión 1 MANTENIMIENTO DE EQUIPO DE COMPUTO. Página 1 de 6. Procedimiento de Mantenimiento de Equipo de Cómputo

DOCUMENTO DE GESTIÓN. Políticas de Tecnologías de la Información y las Comunicaciones 1. OBJETIVO 2. ALCANCE

Convocatoria Scotiabank Iluminando el Mañana 2015

Reglamento uso de Laboratorios de Computación y Equipamiento Informático

MACROPROCESO APOYO Código GS-SIS-PL_001 GESTION SISTEMAS DE INFORMACION DE CONTINGENCIA DE TECNOLOGIA DE INFORMACION Y COMUNICACIONES

BENEFICENCIA DE ANTIOQUIA

ESTÁNDARES DE CALIDAD. Pulido, Hernán Javier Documento para la comunidad de la UCET, como soporte a su labor, en busca de la Excelencia.

Procedimiento para la Instalación y Configuración de Infraestructura de Telecomunicaciones

Plataformas operativas de tecnologías de información. Proyecto Final

Respuestas a las dudas sobre la firma electrónica. Mayo de 2008

Política de. Control Interno. Actualización: 1 - Fecha de última actualización: 8 de noviembre de Página: 1 de 5

HOSPITAL EL TUNAL III NIVEL E.S.E COMITÉ DE ÈTICA DE INVESTIGACIÒN

Preguntas Generales sobre Certificación

Rol de las Oficinas de Control Interno en la transición de la Administración Territorial Departamento Administrativo de la Función Pública

GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

EXPOSICIÓN DE MOTIVOS

CARACTERIZACIÓN DEL PROCESO GESTIÓN DEL CONOCIMIENTO Y LA COMUNICACIÓN

POLÍTICA DE SEGURIDAD INFORMATICA

PROCEDIMIENTO DE INFORMACION, CONSULTA Y PARTICIPACION DE LOS TRABAJADORES EN MATERIA DE PREVENCION DE RIESGOS LABORALES

CÓMO SOLICITAR EL CERTIFICADO DIGITAL?

1.1 Seguridad de la Información. 1.2 Código malicioso. Políticas de seguridad

Sistemas de Información para la Gestión

GESTIÓN DE SEGURIDAD Y SALUD EN EL TRABAJO EVALUACIONES MEDICAS OCUPACIONALES

C O N T E N I D O. 1. Propósito. 2. Alcance. 3. Responsabilidad y autoridad. 4. Normatividad aplicable. 5. Políticas.

EMPRESA SOCIAL DEL ESTADO CENTRO DE SALUD SAN JUAN DE DIOS EL PITAL HULA INFORME PORMENORIZADO ESTADO DE CONTROL INTERNO

QUÉ ES EL CONTROL INTERNO?

POLÍTICA DE COMUNICACIÓN E INFORMACIÓN PÚBLICA VERSIÓN 1

Dirección de Administración. PM USGA Control y Mantenimiento de Inmuebles

Trato digno al Ciudadano

INSTRUCTIVO PARA ORGANIZACIÓN DE ARCHIVOS DE GESTION

GUÍAS. Módulo de Mantenimiento e instalación de hardware y software Saber Pro

SISTEMA DE GESTIÓN DE INSTALACIONES Y EFICIENCIA ENERGÉTICA (SGIEE)

16. GLOSARIO DE TÉRMINOS Y DEFINICIONES

MANUAL DE PROCEDIMIENTOS

Bogotá D.C., 19 de abril de 2016 No. 016

Jornada sobre Responsabilidad Social Empresaria

Manual de Usuario de la Página Web del SGC

Ministerio de Relaciones Exteriores República de Colombia

MANUAL DE PROCEDIMIENTOS JUNTA DE PROTECCIÓN SOCIAL

FORMATO DE PLAN DE ACCIÓN

GUÍA PARA LA MANIPULACIÓN DE MEDIOS Y BORRADO SEGURO

Reglamento de conexión y uso de la red alámbrica e inalámbrica de la UTIM

Manual de la solicitud de alta de cuenta de correo.

ACCIONES PREVENTIVAS

CONSULTORÍA EMPRESARIAL EN TECNOLOGÍAS DE LA INFORMACIÓN

INSTRUCTIVO PARA EL MANEJO DE LOS SISTEMAS DE INFORMACION

MANUAL DE USUARIO MESA DE SERVICIO

M. I. Fernando Macedo Chagolla

GESTIÓN DE LA CALIDAD PRODUCTO O SERVICIO NO CONFORME

SUBCOMITÉ DE REGISTROS DE ENFERMERÍA PROCEDIMIENTO NORMALIZADO DE TRABAJO

Procedimiento para la Identificación y Evaluación de Cumplimiento de los Requisitos Legales y Otros Aplicables.

PROCESO ADMINISTRACIÓN DEL TALENTO HUMANO PROCEDIMIENTO ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD Y LA SALUD EN EL TRABAJO

REVISIÓN POR LA DIRECCIÓN REVISÓ

Seguridad e integridad de bases de datos USB

Plan de transición de la certificación con las normas ISO 9001 e ISO (Fecha de actualización )

1. IDENTIFICACIÓN DEL CARGO NOMBRE DEL CARGO COORDINADOR ODONTOLÓGICO Y AUDITOR DE CALIDAD NIVEL FUNCIONAL DEPENDENCIA TÁCTICO

Asignar los créditos presupuestarios para garantizar el suministro de bienes y servicios a las Dependencias del Ministerio Público.

ENCUESTA GENERAL SOBRE AUDITORIA INTERNA DE LOS BANCOS CENTRALES MIEMBROS DEL CEMLA

Auditorías de sistemas de gestión ambiental, bajo la nueva versión de la norma ISO 14001:2015

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

1. PRELIMINARES DEL CARGO

Transcripción:

POLITICA DE SEGURIDAD INFORMÁTICA Sistema Bajo la Norma Técnica de en la Gestión Pública NTCGP 1000:2009 La presente Política de SEGURIDAD INFORMÁTICA, tiene como objetivo dar cumplimiento a la Resolución 305 de 2008 CDS, en lo referente a proteger los activos informáticos frente a los posibles riesgos derivados del uso de las nuevas tecnologías, para garantizar la seguridad en aspectos tales como disponibilidad, confiabilidad, accesibilidad e integridad de los mismos, en el Hospital San Blas II nivel E.S.E. y del Centro de Atención en Drogadicción Despertar. Aprobado por Resolución 000088 del 19 de Abril de 2011. EQUIPO DE GESTIÓN DE LA CALIDAD Oficina de Planeación y Sistemas ABRIL DE 2011

CONTROL DE CAMBIOS Versión Fecha Descripción de la Modificación No aplica por ser la primera versión Elaboró: LUZ FANNY HERNÁNDEZ P. Ingeniera de Sistemas Revisó: AMADO JOSE CERMEÑO Asesor Oficina de Planeación Aprobó: CARLOS EDUARDO PINEDA AMORTEGUI Gerente Fecha: 19 de Abril de 2011 Fecha: 19 de Abril de 2011 Fecha: 19 de Abril de 2011 Estado del Documento: Vigente Página 2 de 14

La utilización creciente de las Tecnologías de la Información y las Comunicaciones -TIC-, genera beneficios para las entidades, organismos y órganos de control del Distrito Capital, mejorando el cumplimiento de la misión y la prestación de servicios a la ciudadanía. Sin embargo, por ser la información el activo más importante de la organización, es necesario protegerla frente a los posibles riesgos derivados del uso de las nuevas tecnologías, para garantizar la seguridad de la información, en aspectos tales como disponibilidad, confiabilidad, accesibilidad e integridad de la misma. Estos tres principios se definen así: DISPONIBILIDAD: La Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella, ya sean personas, procesos o aplicaciones. En el caso de los sistemas informáticos utilizados para almacenar y procesar la información, los controles de seguridad utilizada para protegerlo, y los canales de comunicación protegidos que se utilizan para acceder a ella deben estar funcionando correctamente. La Alta disponibilidad sistemas objetivo debe seguir estando disponible en todo momento, evitando interrupciones del servicio debido a cortes de energía, fallos de hardware, y actualizaciones del sistema. Garantizar la disponibilidad implica también la prevención de ataque Denegación de servicio. La disponibilidad además de ser importante en el proceso de seguridad de la información, es además variada en el sentido de que existen varios mecanismos para cumplir con los niveles de servicio que se requiera, tales mecanismos se implementan en infraestructura tecnológica, servidores de correo electrónico, de Estado del Documento: Vigente Página 3 de 14

bases de datos, de web etc, mediante el uso de Clústers o arreglos de discos, equipos en alta disponibilidad a nivel de red, servidores espejo, replicación de datos, redes de almacenamiento (SAN), enlaces redundantes, etc. La gama de posibilidades dependerá de lo que queremos proteger y el nivel de servicio que se quiera proporcionar. CONFIDENCIALIDAD: Es la propiedad de la información, por la que se garantiza que está accesible únicamente a personal autorizado a acceder a dicha información. La confidencialidad ha sido definida por la Organización Internacional de Estandarización (ISO) en la norma ISO-17799 como "garantizar que la información es accesible sólo para aquellos autorizados a tener acceso" y es una de las piedras angulares de la seguridad de la información. La confidencialidad es uno de los objetivos de diseño de muchos criptosistemas, hecha posible en la práctica gracias a las técnicas de criptografía moderna. INTEGRIDAD: Es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. La violación de integridad se presenta cuando un empleado, programa o proceso (por accidente o con mala intención) modifica o borra los datos importantes que son parte de la información, así mismo hace que su contenido permanezca inalterado a menos que sea modificado por personal autorizado, y esta modificación sea registrada, asegurando su precisión y confiabilidad. La integridad de un mensaje se obtiene adjuntándole otro conjunto de datos de comprobación de la integridad: la firma digital Es uno de los pilares fundamentales de la seguridad de la información La definición de la Política de Seguridad Informática está enfocada a la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida) en el Hospital San Blas II Nivel de Atención E.S.E. y en el Centro de Atención en Drogadicción Despertar. Para ello se realizó una investigación sobre los estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. La Política de Seguridad Informática comprende software, bases de Estado del Documento: Vigente Página 4 de 14

datos, metadatos, archivos y todo lo que la organización valore (activo) y signifique un riesgo si ésta llega a manos de otras personas. Este tipo de información se conoce como información privilegiada o confidencial. DEFINICIONES Entiéndase para el presente documento los siguientes términos: Política: son instrucciones mandatarias que indican la intención de la alta gerencia respecto a la operación de la organización. Seguridad de la información: Preservación de la confidencialidad, integridad y disponibilidad de la información. Confidencialidad: Aseguramiento de que la información es accesible sólo para quienes están autorizados. Integridad: Salvaguardia de la exactitud y completitud de la información y sus métodos de procesamiento. Disponibilidad: Aseguramiento de que los usuarios autorizados tengan acceso a la información y sus recursos asociados cuando se requiera. Activos de información: Elementos de Hardware y de Software de procesamiento, almacenamiento y comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo de los datos y la información misional, operativa y administrativa de cada entidad, órgano u organismo. Amenaza: Es un evento que pueden desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos. Estado del Documento: Vigente Página 5 de 14

Impacto: Medir la consecuencia al materializarse una amenaza. Riesgo: Posibilidad de que se produzca un impacto determinado en un Activo, en un Dominio o en toda la Organización. Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una amenaza sobre un Activo. Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del sistema. Desastre o Contingencia: Interrupción de la capacidad de acceso a información y procesamiento de la misma a través de computadoras necesarias para la operación normal de un negocio. Recurso Informático: Elementos informáticos (base de datos, sistemas operacionales, redes, sistemas de información y comunicaciones) que facilitan servicios informáticos. Información: Puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada. Usuarios Terceros: Todas aquellas personas naturales o jurídicas, que no son funcionarios del Hospital, pero que por las actividades que realizan en la Entidad, deban tener acceso a Recursos Informáticos Ataque cibernético: Iintentó de penetración de un sistema informático por parte de un usuario no deseado ni autorizado a accederlo, por lo general con intenciones insanas y perjudiciales. Brecha de seguridad: Deficiencia de algún recurso informático o telemático que pone en riesgo los servicios de información o expone la información en si misma, sea o no protegida por reserva legal. Estado del Documento: Vigente Página 6 de 14

Criptografía de llave publica: Es el arte o ciencia de cifrar y descifrar información utilizando técnicas matemáticas que hagan posible el intercambio de mensajes de manera que sólo puedan ser leídos por las personas a quienes van dirigidos. Cifrar: quiere decir transformar un mensaje en un documento no legible, y el proceso contrario se llama `descodificar" o `descifrar". Los sistemas de ciframiento se llaman `sistemas criptográficos". Certificado Digital: Un bloque de caracteres que acompaña a un documento y que certifica quién es su autor (autenticación) y que no haya existido ninguna manipulación de los datos (integridad). Para firmar, el firmante emisor utiliza una clave secreta que le vincula al documento. La validez de la firma podrá ser comprobada por cualquier persona que disponga de la clave pública del autor OBJETIVOS DE LA POLITICA DE SEGURIDAD INFORMÁTICA GENERAL Proteger los activos informáticos frente a los posibles riesgos derivados del uso de las nuevas tecnologías, para garantizar la seguridad en aspectos tales como disponibilidad, confiabilidad, accesibilidad e integridad de los mismos, en el Hospital San Blas II nivel E.S.E. y del Centro de Atención en Drogadicción Despertar. ESPECÍFICOS Crear cultura informática al interior del Hospital. Establecer un entorno seguro sobre los activos informáticos del hospital. La Política de Seguridad Informática (PSI), surgen como una herramienta organizacional para concientizar a cada uno de los miembros de una Estado del Documento: Vigente Página 7 de 14

organización sobre la importancia y sensibilidad de la información y servicios críticos. La política descrita en este documento refleja en una serie de normas, reglamentos y protocolos a seguir, donde se definen las medidas a tomar para proteger la seguridad del sistema; pero ante todo, es una forma de comunicarse con los usuarios. Siempre hay que tener en cuenta que la seguridad comienza y termina con personas. Minimizar el riesgo del uso inadecuado sobre la información generada por las diferentes áreas del Hospital. MARCO LEGAL Directiva 05 de 2005 del Alcalde Mayor de Bogotá. Resolución 305 de 2008 de la CDS Norma Internacional NTC-ISO/IEC 27001 que establece los requisitos del Sistema de Gestión de Seguridad de la Información Norma Internacional NTC/ISO IEC 17799 con su equivalente NTC-ISO/IEC 27002 que establece las mejores prácticas para la implementación del Sistema de Gestión de Seguridad de la Información Estado del Documento: Vigente Página 8 de 14

PRINCIPIOS ORIENTADORES DE LA POLITICA DE SEGURIDAD INFORMÁTICA Principio de Confidencialidad: 1. Principio de Acceso al equipo de Cómputo: Se debe crear un usuario y contraseña para el acceso y manejo del equipo de cómputo, se le entrega la información al funcionario que recibe el activo. 2. Principio de Contraseña de Usuario Registrado en el Dominio: La contraseña debe tener mínimo de 8 caracteres con símbolos, letras en mayúscula y no símbolos especiales. 3. Principio de manejo de la Contraseña: La contraseña se debe cambiar periódicamente, como mínimo cada 40 días, la cual se registrara en un formato de seguimiento. 4. Principio de manejo de la información en un equipo de Cómputo: La información deberá estar situada en la carpeta de Mis Documentos estableciendo un orden cronológico por fechas. Es de aclarar que no debe existir carpetas creadas por el usuario en la unidad C:\, ya que si se crean en esta ubicación todo usuario que tenga posibilidad de acceso al equipo las puede ver. Principio de Integridad: 1. Principio de Salvaguardar la información (Sistemas de Información Sigma Diaria): Se realizara Backup del Sistema de Información Sigma en cinta diariamente programada a las 3:00 Am, dejando la cinta en el Centro de Computo en un espacio acondicionado por el área Administrativa. 2. Principio de Salvaguarda la información (Sistemas de Información Sigma Mensual): Se realizara Backup del Sistema de información Sigma en cinta la cual se enviara mediante oficio al área Administrativa, la cual estaría alojada en la caja fuerte de Tesorería y en un sitio externo con las debidas medidas de seguridad. Estado del Documento: Vigente Página 9 de 14

3. Principio de Integridad de la información (Sistemas de Información Sigma): La modificación de la información, se deberá solicitar mediante un oficio firmado por él referente del área que solicita la modificación. Adicional mente el área de Sistemas llevara acta de dicha modificación. 4. Principio de Salvaguardar la Información de los Equipos de Cómputo: Los usuario que tengan a su cargo como activo un computador realizara un backup de la información en medio físico mensualmente o cuando se requiera, según las indicaciones del área de Sistemas. 5. Principio de manejo de la Información de los Equipos de Cómputo: En el instante de que un funcionario sea traslado o que se termine su contrato con la organización deberá relacionar la información que deja en el equipo al jefe inmediato mediante documento y copia de la información en medio físico. Por otra parte si requiere la información en otro medio deberá solicitarlo mediante oficio; ya que dicha información elaborada y procesada es un activo más de la organización. Principio de Disponibilidad: 1. Principio de Escaneo de la Información en los Equipos de Cómputo: Se debe generar un mecanismo de detección de virus en los equipo de computo de toda la organización, con el fin de proteger la información y garantizar su disponibilidad e integridad. Existe un Sistema de Antivirus el cual está programado para hacer escaneos en tiempo real, analizando discos extraíbles como Memorias USB, CD-ROM, etc., Este Aplicativo es del Fabricante ESET NOD32, dicho software se encuentra en el Servidor de Dominio con consola de administración en la Versión 4. 2. Principio de Creación de Perfiles (Sistema de información Sigma): Consiste en la creación de perfiles para el manejo de los módulos del aplicativo Sigma, ya sea para inserción, modificación, consulta y actualización de la información, para este proceso el área de sistemas solicita un oficio al referente del área mencionando al funcionario que recibirá el menú que va a operar. Estado del Documento: Vigente Página 10 de 14

3. Principio de Creación de Usuarios (Sistema de información Sigma): Para la creación de un usuario en el aplicativo Sigma, el área de Sistemas solicitara un oficio al referente del área en dicho oficio se debe relacionar el nombre del funcionario que recibirá el login y adicionalmente las opciones del modulo que se mostraran en el menú. Por otra parte para la creación del login se utilizara las tres primeras letras del primer apellido y las dos del primer nombre que será la nomenclatura con la que se mostrara el login, en el momento de que el funcionario reciba la capacitación del manejo del menú, él firmara un formato que recibe el login y se compromete a hacer el buen uso de recibir la información. Principio de Seguridad de la Red: 1. Principio de Seguridad de la Información: La organización deberá contar con un Servidor Firewall para la administración del canal de internet y de datos el cual debe tener los Servicios de: Protección contra Intrusos, Filtrado Web, http Proxy, Antivirus, Antispyware, Spam y Encriptación Mail, con el fin de garantizar la estabilidad y el buen uso del canal de internet. 2. Principio de Creación de los Perfiles en el Servidor Firewall: De acuerdo a la misión de la organización que es la prestación del Servicio de Salud al Paciente, se deben crear 5 perfiles asignándolos por categorías, los cuales serán orientados de la siguiente manera: Perfil Administrativo: Este perfil contendrá a la parte Administrativa de la organización y estará conformado por los líderes de las áreas. Perfil Medico: Este perfil contendrá a la parte Asistencial Médicos de la organización y estará con formado por los líderes de las áreas. Perfile de Usuarios Generales: Este perfil contendrá toda la parte operativa del área administrativa y Asistencial. Perfil de Facturadores: Este perfil contendrá todas las áreas que prestan el servicio de Facturación, Admisión y Asignación de Citas a nivel de Atención al Paciente de la organización. Estado del Documento: Vigente Página 11 de 14

Perfil de Sistemas: Este perfil contendrá al personal del área de sistemas, el cual estará enfocado a la descarga de información e instalación de actualizaciones de los equipos de la organización. 3. Principio de Asignación de Perfiles en el Servidor Firewall: Para la asignación de los perfiles a los funcionarios de cada área se contemplara las labores y ubicación en el organigrama de la organización, no obstante el referente debe enviar un oficio con la información del funcionario al cual se le va asignar login de acceso a internet. La nomenclatura que se utilizara es tres primeras letras del primer nombre y tres del primer apellido y la contraseña que se asignara se remita al Principio de Contraseña de Usuario Registrado en el Dominio. Principios de Manejo del Activo de la Información: 1. Principio de Instalación del Equipo de Cómputo: Todo equipo de cómputo (Portátiles, Estaciones de Trabajo, Servidores e Impresoras), que esté o sea conectado a la Red la organización, o aquel que en forma autónoma se tenga y que sea propiedad de la institución debe de sujetarse a las normas y procedimientos de instalación que emite el departamento de Sistemas. El responsable del activo deberá avisar al departamento de Sistemas o Activos Fijos de la organización con el fin de dar cumplimiento con las normas de instalación, y notificaciones correspondientes de actualización, reubicación, reasignación, y todo aquello que implique movimientos internos del activo. La protección física de los equipos corresponde a quienes en un principio se les asigna, y corresponde notificar los movimientos en caso de que existan, a las autoridades correspondientes, como sería el departamento de Sistemas y Activos Fijos de la organización. Estado del Documento: Vigente Página 12 de 14

El equipo de cómputo a reubicar sea propiedad de la organización se hará únicamente bajo la autorización del responsable contando el lugar a donde se hará la ubicación con los medios necesarios para la instalación del equipo informando al departamento de Sistemas para realizar su instalación y Activos Fijos de la organización para su movimiento interno en el aplicativo de control. 2. Principio de Mantenimiento de Equipo de Cómputo. El área de Sistemas deberá tener un registro del inventario de toda la organización, los cuales tendrá su hoja de vida. El departamento de Sistemas, estará en cargado del mantenimiento preventivo y correctivo de los equipos. Para tal fin debe emitir las normas y procedimientos respectivos. Por motivos de normatividad expedidos por la organización queda estrictamente prohibidos dar mantenimiento a equipo de cómputo que no es propiedad de la institución. Todo equipo de cómputo (Portátiles, Estaciones de trabajo, Servidores y demás relacionados), que sean propiedad de la organización debe procurarse sea actualizado tendiendo a conservar e incrementar la calidad del servicio que presta, mediante la mejora sustantiva de su desempeño. ESTRATEGIA CREACIÓN COMITÉ DE SISTEMAS DE INFORMACIÓN Objetivo del Comité de Sistemas de Información. El objetivo del Comité de Sistemas de Información del Hospital San Blas II Nivel ESE es asegurar que exista una dirección y apoyo gerencial para soportar la administración y desarrollo de iniciativas sobre seguridad de la información, a través de compromisos apropiados y uso de recursos adecuados en el hospital, así como la formulación y mantenimiento de una política de seguridad de la información a través de todo el Estado del Documento: Vigente Página 13 de 14

organismo. Esta constituido como un grupo asesor de alta dirección. Responsable de definir las políticas de seguridad de la información, así como los procesos, procedimientos, y metodologías específicas de seguridad de la información para el adecuado uso y administración de los recursos informáticos y físicos asignados a los servidores públicos. Funciones del Comité de Sistemas de Información. Serán funciones del Comité de Sistemas de Información del Hospital San Blas II Nivel ESE las siguientes: 1. Definir las políticas de seguridad de la información, así como los procesos, procedimientos, y metodologías específicas de seguridad de la información para el adecuado uso y administración de los recursos informáticos y físicos asignados a los servidores públicos. 2. Promulgar las políticas básicas y específicas de seguridad de los datos y la información, procurando su difusión. 3. Enviar al presidente de la Comisión Distrital de Sistemas copia de los documentos de políticas adoptadas. 4. Actualizar y consolidar los cambios y ajustes implementados respecto a las políticas de seguridad. 5. Revisar los diagnósticos del estado de la seguridad de la información en la entidad 6. Revisar y analizar los consolidados de incidentes de seguridad informática existentes en la entidad. 7. Identificar necesidades de evaluación de procesos soportados por recursos informáticos y su plataforma tecnológica. 8. Aprobar el uso de metodologías y procesos específicos para la seguridad de la información. 9. Velar por el cumplimiento del envió de los requerimientos de información realizados por los Entes Externos al Hospital San Blas. Estado del Documento: Vigente Página 14 de 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback