POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN P00 Este documento presenta las características principales de la Seguridad de la Información, el uso aceptable y prohibido de los recursos por los funcionarios y terceros, y los estándares y procedimientos a seguir que minimicen el riesgo que pueda afectar la información sensible, operaciones de apoyo, o la imagen pública del. 1.0 ELABORADO POR Juan Carlos Palacios D. REVISADO POR <Nombre y Apellido> VERSION Nº 1.0 _ Servicio Enc. Seguridad de Salud Información Maule <Función de la persona> Página 1 de 9
CONTROL DEL DOCUMENTO Ver Fecha Creación Autor Fecha Revisión Revisado por Fecha de Aprob. Aprobado por 1.0 17/09/2013 Enc. Seg. Inf. 14/11/13 29/10/13 Comité Seg. Inf. Comentarios CLASIFICACIÓN: Uso Interno Archivo fuente: Archivo distribución: Sitio web difusión: Contacto: PoliticaGeneralSeguridadInf-P00v1.docx PolíticaGeneralSeguridadInf-P00v1.pdf http://ssmaule.redsalud.gob.cl/seguridad Encargado Seguridad de la Información Correo institucional: seguridad@ssmaule.cl Fono: +56 071 411 7777 Página 2 de 9
INTRODUCCIÓN Las Tecnologías de Información y Comunicaciones (TIC) se han incorporado a los procesos institucionales de la Red del con el fin de brindar beneficios, ventajas y oportunidades a sus funcionarios en el quehacer diario, facilitando y agilizando el cumplimiento de los objetivos institucionales, permitiendo además contar con información para la gestión y toma de decisiones. Ahora bien, es de suma importancia hacer una buena aplicación de la tecnología no solo para el logro de los objetivos sino también para evitar riesgos que surgen por el uso de las mismas, los que pueden ser minimizados tomando en cuenta la seguridad de la información en los procesos de la organización. Entonces, se puede definir seguridad de la información como el conjunto de medidas y reglas a tomar en consideración en los procesos organizacionales para preservar y proteger la confidencialidad, integridad y disponibilidad de la información. DECLARACIÓN INSTITUCIONAL El protegerá los recursos de información y la tecnología usada para su procesamiento de las amenazas internas o externas, deliberadas o accidentales; asegurando la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Además, es de suma importancia poder garantizar la continuidad de los sistemas de información, minimizar riesgos de daño y asegurar el eficiente cumplimiento de sus objetivos. La Dirección del (DSSM) y sus establecimientos dependientes se comprometen a gestionar la seguridad de la información como un proceso continuo en el tiempo, manteniendo un sistema de seguridad, basado en la NCh ISO 27001 y en cumplimiento con lo establecido en el DS Nº 83, tendiente a homogeneizar los criterios de seguridad. Adicionalmente, las máximas autoridades de la DSSM se comprometen en la difusión, consolidación y cumplimiento de la presente política de seguridad de la información, así como su implementación identificando los recursos y partidas presupuestarias disponibles. Página 3 de 9
OBJETIVOS DE LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 1. Definir una estructura y un marco de políticas, estándares y procedimientos en materia de seguridad de la información para la manipulación, uso y resguardo adecuado de los activos de información. 2. Difundir la Política de Seguridad de la Información y capacitar a todos los funcionarios del SSM sobre las prácticas que se establezcan en relación al resguardo de los activos de información y las tecnologías para su procesamiento. 3. Hacer un catastro que permita identificar y clasificar los activos de información para la operación y continuidad de la organización, considerando los riesgos. 4. Realizar las actividades necesarias de análisis de riesgo, para diseñar e implantar medidas y controles que permitan mitigar los riesgos que sean identificados, sin perder de vista el enfoque de la gestión por procesos institucionales. 5. Proteger, resguardar y asegurar los activos de información y tecnologías para su procesamiento a efecto de garantizar los derechos de las personas, los procesos y la continuidad en las operaciones del (SSM). 6. Mantener la continuidad de los procesos críticos, dependientes o no de los sistemas de información, entendiendo que estos procesos son y se harán más dependientes de la plataforma tecnológica. Página 4 de 9
ALCANCE DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN La presente política debe ser conocida y cumplida por todo el personal de la Institución (funcionarios de planta y contrata, personal a honorarios y profesionales que prestan servicios). Las instancias dependientes del SSM incluido en esta política son: DSSM Hospitales COSAM PRAIS Centro de Sangre Esta Política y sus políticas dependientes aplican en todo el ámbito de la Institución, a sus recursos y a la totalidad de los procesos, internos y externos, vinculados a la entidad a través de contratos o acuerdos con terceros. De acuerdo a lo anterior, la información que genera y gestiona la institución constituye un activo estratégico clave para asegurar la continuidad de las operaciones de apoyo del SSM impulsando su misión y visión. MARCO GENERAL DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Marco Legal DS Nº83, SEGURIDAD Y CONFIDENCIALIDAD DE LOS DOCUMENTOS ELECTRÓNICOS Nch-ISO 27001 Ley 20584, DERECHOS Y DEBERES QUE TIENEN LAS PERSONAS EN RELACIÓN CON ACCIONES VINCULADAS A SU ATENCION EN SALUD RE Nº 523 POLÍTICAS GENERALES DE SEGURIDAD DE LA INFORMACIÓN MINSALUD Página 5 de 9
Marco Organizacional Roles y Responsabilidades Para cumplir los objetivos de la Política General de Seguridad de la Información de la DSSM se establecen los siguientes roles: Director del : en concordancia con la NCh. 27001, nombrará un Encargado de Seguridad de la Información. Su función será la elaboración, desarrollo, implementación y funcionamiento de planes de Seguridad Informática en el SSM. Se deberá nombrar también un responsable de seguridad en cada establecimiento perteneciente al SSM. Encargado de Seguridad de la Información: El Encargado de Seguridad de la Información tendrá toda la responsabilidad del desarrollo e implementación de las Políticas de Seguridad de la Información, formar parte del grupo tecnológico en la identificación de los controles y asesorar en materia de seguridad de la información a las autoridades y al Comité de Seguridad de la Información. Será la persona que coordine el equipo que trabajará la seguridad de la información en el resto de las dependencias del SSM. Comité de Seguridad de la Información del SSM: el Comité de Seguridad de la Información del SSM, es un cuerpo integrado por representantes de las diferentes áreas, destinado a asegurar la implantación del Sistema de Gestión de Seguridad de la Información. Se constituyó a través de la Resolución Exenta Nº 2786 del 27 de Junio del 2012. Las funciones principales son proponer, impulsar, promover, aprobar y revisar anualmente las políticas de seguridad de la información del SSM, así como supervisar el desarrollo del Plan de Seguridad de la Información. Página 6 de 9
AMPLITUD DE LAS POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN La Seguridad de la Información es un campo amplio, abarca diferentes contextos y situaciones, y su aplicabilidad cubre los siguientes ámbitos: Políticas de Comunicaciones Electrónicas Política de Correo Electrónico Política de Uso de Internet Política Servidor Web Política de Seguridad Redes y Conexiones de Terceros Política de Uso de VPN Políticas de Resguardo de Información y Documentos Electrónicos Política de Antivirus Política de Identificación y Autenticación Política de protección de datos Política de respaldo de datos Política de Firewall Política de Declaración de Privacidad Política de Clasificación y Manejo de la Información Política de Servicios y Archivos de Impresión Política de Escritorio y Pizarra Limpia Políticas de Operaciones Política de Seguridad de Operaciones Política de Diseño y Desarrollo Aplicaciones Política de Control de Cambios Política de Respuesta a Incidentes Política de Uso de Computadores Personales Política de Recuperación ante Desastres Política de Continuidad del Negocio Políticas de Acceso a la Información Política de Seguridad Física Política de Cuentas de Usuarios Política de Control de Acceso Físico Política de Acceso Remoto Política de Preservación de Código Malicioso Política de Instalación y Uso Legal del Software Página 7 de 9
Las Políticas de Seguridad de la Información serán actualizadas y difundidas periódicamente a través del sitio Web http://ssmaule.redsalud.gob.cl/seguridad y Programas de Educación internas de la institución, afiches y demás artículos que puedan impulsar y concientizar a los funcionarios en la importancia de la Seguridad de la Información en los procesos diarios. La presente política, y aquellas asociadas son aplicables a todos los empleados, clientes y proveedores del SSM, o a cualquier persona que esté involucrada con los activos de información institucional. El Comité de Seguridad de la Información es responsable de implantar esta política y tendrá el apoyo de la Alta Dirección del SSM, quien la ha aprobado. Página 8 de 9
GLOSARIO Para un mejor entendimiento de las directivas, es necesario familiarizarse con los siguientes conceptos: Confidencialidad: propiedad de la información mediante la cual se garantizará el acceso a la misma solo por parte de las personas que estén autorizadas. Dato: unidad mínima de información. Disponibilidad: posibilidad de que algo, un producto o un fenómeno, esté disponible de ser realizado, encontrado o utilizado. Información: está constituida por un grupo de datos ya supervisados y ordenados, que sirven para construir un mensaje basado en un cierto fenómeno o ente. La información permite resolver problemas y tomar decisiones, ya que su aprovechamiento racional es la base del conocimiento. Integridad: es la garantía de que nadie pueda modificar la información sin contar con la autorización necesaria. Riesgo: se define como la combinación de la probabilidad de que se produzca un evento y sus consecuencias negativas. VPN: siglas correspondientes en inglés a Virtual Private Network o en español Red Privada Virtual, se usa para poder acceder en forma segura diferentes redes a través de Internet. Página 9 de 9