Manual de Seguridad S - A - S - 2006 PDF

Unidad de Gestin de Riesgos Digitales
Manual de Seguridad de la Informacin Corporativa
GESTIN DE RIESGOS DIGITALES
Manual de Seguridad
de la Informacin
Corporativa
SEPTIEMBRE 2006
Servicio Andaluz de Salud
Manual de Seguridad de la Informacin

Corporativa
Comunidad Autnoma de Andaluca
Consejera de Salud/Servicio Andaluz de Salud
Direccin General/rgano/Organismo/Entidad
CONTROL DE CAMBIOS
Versin
1
Fecha
25-2-2002
22-1-2003
Descripcin de la modificacin
Primer Documento de Seguridad consensuado S.A.S.
Documento de Seguridad Nivel Alto
Documento de Seguridad Nivel Medio
Documento de Seguridad Nivel Bsico
Unificacin de los tres documentos (alto, medio y bsico)
Unificacin en un solo documento de toda la poltica de seguridad de
la informacin, sea de carcter personal o no.
Revisin de procedimientos:
Procedimientos de Declaracin de Ficheros de Carcter
Personal
Ejercicio de Derechos de acceso, Rectificacin, Cancelacin
y Oposicin de Datos de Carcter Personal
Relaciones contractuales con empresas externas
Registro de Incidencias de Seguridad de la Informacin
Gestin de Soportes
Copias de Respaldo y Recuperacin
Descripcin del Sistema de Acceso a la Informacin
Corporativa
Control de Accesos a la Informacin Corporativa
Registro de Accesos
Actualizacin del estado de declaracin de ficheros (Anexo C)
Actualizacin seguridad fsica de C.P.D. (Anexo D)
Inclusin gua de consejos de proteccin de nuestros sistemas contra
virus
10-5-2004
4
5
11-2004
12-2004
Revisin de los Formularios para el derecho de Acceso, Rectificacin

y Cancelacin
Revisin Jurdica del Documento
Copias de Seguridad en Centrales
Manual de comportamiento de los empleados pblicos en el uso de
los Sistemas Informticos y redes de comunicaciones (Anexo F).

6
7
05-2005
09-2006
Actualizacin del Documento de Seguridad del S.A.S

Actualizacin del Documento de Seguridad del S.A.S
ndice
1. Poltica de Seguridad _______________________________________________ 7
2. Objeto del documento. ______________________________________________ 8
3. mbito de aplicacin._______________________________________________ 9
3.1
mbito funcional ___________________________________________________________9
3.2
mbito personal ____________________________________________________________9
3.3
mbito Material ____________________________________________________________9
4. Definiciones. ______________________________________________________ 9
5. Recursos protegidos._______________________________________________ 11
6. Funciones y obligaciones del personal. ________________________________ 12
6.1
Definicin de perfiles. _______________________________________________________12
6.2
Organizacin de Seguridad __________________________________________________13
6.3
Todo el Personal ___________________________________________________________14
6.3.1
Confidencialidad de la Informacin__________________________________________14
6.3.2
Salvaguarda y proteccin de las contraseas personales __________________________14
6.3.3
Puesto de trabajo ________________________________________________________15
6.3.4
Sistema Informtico y Telemtico de Acceso a la Informacin ____________________16
6.3.5
Otros Recursos__________________________________________________________16
6.3.6
Gestin de Incidencias____________________________________________________16
6.3.7
Gestin de soportes ______________________________________________________16
6.3.8
Copias de Respaldo y Recuperacin _________________________________________17
6.4
Responsable del Fichero_____________________________________________________18
6.4.1
Poltica de Seguridad de la Informacin Corporativa ____________________________18
6.4.2
Declaracin de Ficheros de Carcter Personal__________________________________18
6.4.3
Ejercicio de derechos de oposicin, acceso, rectificacin o cancelacin de Datos de
Carcter Personal _______________________________________________________________18
6.4.4
Gestin de soportes ______________________________________________________18
6.4.5
Controles peridicos de verificacin del cumplimiento___________________________19
6.5
Responsable de Seguridad ___________________________________________________20
6.5.1
6.5.2
Declaracin de Ficheros de Carcter Personal__________________________________20
6.5.3
Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos de
6.5.4
Gestin de incidencias ____________________________________________________21
6.5.5
Gestin de Soportes ______________________________________________________21
6.5.6
6.5.7
Descripcin del Uso del Sistema de Informacin Corporativa _____________________21
6.5.8
Control de Accesos ______________________________________________________21
6.5.9
Registro de Accesos______________________________________________________22
6.5.10
Controles Peridicos de Verificacin del Cumplimiento _______________________22
6.6
Responsable Sistemas y Tecnologas de la Informacin ___________________________23
6.6.1
6.6.2

6.6.3
6.6.4
6.6.5
6.6.6
Gestin de Incidencias____________________________________________________23
Descripcin del Uso del Sistema de Informacin Corporativa _____________________23
Registro de accesos ______________________________________________________24
6.7
Usuario Responsable de la Aplicacin/Fichero __________________________________25
6.7.1
Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos de
6.7.2
Gestin de Soportes ______________________________________________________25
6.7.3
6.7.4
6.7.5
Externalizacin de Servicios _______________________________________________26
6.8
Encargado del Tratamiento__________________________________________________27
6.9
Administradores de Bases de Datos/Sistemas/Red _______________________________28
6.9.1
6.9.2
6.9.3
Descripcin del Sistema de acceso a la Informacin Corporativa ___________________29
6.9.4
6.9.5
Registro de Accesos______________________________________________________29
Anexo A. Normas y Procedimientos de Seguridad. _________________________ 30

1. Seguridad de la Sala de Servidores ___________________________________ 31
2. Procedimiento de Declaracin de Ficheros de Carcter Personal. _________ 49
2.1
Disposicin de creacin de los Ficheros ________________________________________49
2.2
Notificacin a la Agencia de Proteccin de Datos ________________________________50
2.3
Relacin de Ficheros Declarados______________________________________________50
3. Procedimiento para el Ejercicio de los Derechos de Oposicin, Acceso,

Rectificacin o Cancelacin de Datos de Carcter Personal. _________________ 51
3.1
Notificacin al Afectado de sus Derechos _______________________________________51
3.1.1
Formularios Web y Escritos _______________________________________________51
3.1.2
Asistencia Sanitaria ______________________________________________________52
3.1.3
Notificacin para el Tratamiento de Datos Personales del Profesional S.A.S. _________52
3.2
Forma de Ejercer los Afectados estos Derechos__________________________________53
3.3
Derecho de Acceso _________________________________________________________53
3.4
Derecho de Rectificacin ____________________________________________________54
3.5
Derecho de Cancelacin _____________________________________________________54
3.6
Derecho de Oposicin_______________________________________________________55
3.7
Comunicacin al Afectado ___________________________________________________56
4. Procedimiento de Relaciones Contractuales con Empresas Externas con Acceso

a Informacin Corporativa.____________________________________________ 64
4.1
Encargados de Tratamiento__________________________________________________64
4.1.1
Clusulas a Incorporar en el Contrato ________________________________________64
4.2
Empresas, Prestatarias de Servicios Sanitarios o de otra ndole, a las que se les
proporcionan determinados datos para que puedan prestar el servicio.____________________66

4.2.1
4.3
Otras Empresas que trabajen para el S.A.S. ____________________________________68
4.3.1
5. Registro de Incidencias de Seguridad de la Informacin Corporativa ______ 69

5.1
Incidencias________________________________________________________________69
5.2
Responsable_______________________________________________________________70
5.3
Notificacin de Incidencias __________________________________________________70
5.4
Resolucin de la Incidencia __________________________________________________70
5.5
Auditora _________________________________________________________________71
6. Procedimiento de Gestin de Soportes ________________________________ 73

7. Procedimientos de Respaldo y Recuperacin. __________________________ 79
7.1
Confidencialidad___________________________________________________________79
7.2
Responsables ______________________________________________________________79
7.3
Realizacin de Copias de Respaldo y Periodicidad _______________________________80
7.3.1
Entorno sanitario y econmico: _____________________________________________80
7.3.2. Entorno Recursos Humanos: _______________________________________________82
7.4
Inventariado de Copias de Seguridad__________________________________________83
7.5
Identificacin de Copias de Seguridad _________________________________________84
7.6
Almacenamiento de las copias de seguridad ____________________________________85
7.7
Entradas y Salidas de Copias de Seguridad _____________________________________86
7.8
Verificacin de Copias de Seguridad __________________________________________86
7.9
Recuperacin de Informacin ________________________________________________87
7.10
Destruccin de las copias de seguridad_________________________________________90
7.11
Auditoria del Sistema de Copias de Seguridad __________________________________90
8. Descripcin del Uso del Sistema de Informacin Corporativa_____________ 91

8.1
Documentacin Tcnica _____________________________________________________91
8.2
Documentacin de Usuario __________________________________________________91
9. Procedimiento de Acceso al Sistema de Informacin ____________________ 92

9.1
Identificacin y Autenticacin ________________________________________________92
9.2
Caractersticas del Identificador de Usuario y Contrasea ________________________93
9.3
Altas de Usuarios __________________________________________________________97
9.4
Bajas de Usuarios __________________________________________________________99
9.5
Modificacin de Permisos ___________________________________________________99
9.6
Almacenamiento de Contraseas ____________________________________________100
9.7
Auditora de Permisos de Acceso ____________________________________________101

10. Registro de Accesos ______________________________________________ 102
10.1
Registros normalizados ____________________________________________________102

Relacin de Registros Acceso. __________________________Error! Marcador no definido.
10.2
Acceso a Informacin de Carcter Personal de Nivel Alto en Base de Datos _________103
11. Controles peridicos de verificacin del cumplimiento _________________ 104

Anexo B. Documentos de Notificacin y Disposiciones de Carcter General. __ 105
Anexo C.
Plan de emergencia y evacuacin ____________________________ 106
Anexo D.
Sistemas de informacin del fichero. _________________________ 107
Anexo E. Referencias Legales _________________________________________ 110

Anexo F. BOJA nm. 200 del 13 de octubre de 2004 ______________________ 112
Anexo G. Alta de operadores. Procedimiento de emergencia
Anexo H. Flujo de Gestin de Incidencias. CEGES.
1. Poltica de Seguridad
En el SERVICIO ANDALUZ DE SALUD confluyen aspectos sanitarios, personales, tecnolgicos,
financieros, de imagen, etc. Todos estos aspectos se materializan en proyectos, ficheros
personales, informes, planes estratgicos, edificios, equipos, etc., que constituyen su patrimonio
(bienes tangibles e intangibles), el cual es necesario preservar para el ptimo servicio al
ciudadano, adems de que su quebranto pueda tener graves repercusiones legales, ira contra la
buena imagen, la seguridad y el funcionamiento del Sistema Sanitario.
Todos estos aspectos se encuentran plasmados en documentos, materiales y equipos,
instalaciones, personas, sistemas informticos, etc. La preservacin de todo lo relacionado con la
informacin que genera el conjunto y, en determinados casos, cuyo conocimiento por terceros no
es deseado, se denomina Seguridad de la Informacin, que al corresponder al Servicio Andaluz de
Salud, adquiere el nombre de Seguridad de la Informacin Corporativa.
En este documento, que es el Manual de Seguridad de la Informacin Corporativa del S.A.S.
(en adelante Manual), estn definidas las reglas de actuacin en el S.A.S., asegurando un
adecuado equilibrio entre las necesidades de los usuarios, las exigencias de Seguridad y el
respeto a las leyes vigentes.
La aplicacin de estas reglas permitir garantizar la proteccin de la informacin y forman parte
del conjunto de medidas, controles y procedimientos destinados a cumplir con los tres aspectos
bsicos que son esenciales para el funcionamiento de la empresa, el cumplimiento de la legalidad
vigente y la imagen de la propia empresa: confidencialidad, integridad y disponibilidad.
Todos los empleados debern colaborar en el cumplimiento de las reglas de Poltica de Seguridad
de la Informacin Corporativa que aqu se regulan, y como consecuencia de ello asumen un deber
de colaboracin con el S.A.S. en el inters de que no se produzcan alteraciones o violaciones de
estas reglas.
Este documento es conocido por todas las personas que prestan sus servicios en el S.A.S., por lo
que todos conocen las obligaciones que asumen respecto del uso correcto de los recursos
informticos de la empresa.
Estas normas sern efectivas desde el mes de enero de 2003, hasta la fecha en que puedan ser
modificadas parcial o totalmente. Cada una de las modificaciones que se realicen o adendas que
se incorporen al presente documento sern comunicadas a todos los empleados, mediante
insercin en la Intranet del S.A.S.
El Manual actualizado y vigente ser el que se encuentre en cada momento en la Intranet del
S.A.S.
2. Objeto del documento.

El presente documento desarrolla la poltica de seguridad definida por el Servicio Andaluz de
Salud en materia de Sistemas de Informacin.
Adems responde a la obligacin establecida en el artculo 8 del Real Decreto 994/1999 de 11 de
junio en el que se regulan las medidas de seguridad de los ficheros automatizados que contengan
datos de carcter personal, as como lo dispuesto en la Ley Orgnica 15/1999 de 13 de diciembre.
Y establece los mtodos y procedimientos a seguir por parte del personal del S.A.S., tendentes a
conseguir una adecuada proteccin de los Activos de Informacin (entre ellos los datos
personales), as como su obtencin, tratamiento, transmisin, etc.
La Seguridad de la Informacin consiste en un conjunto de medidas, controles, procedimientos y
acciones destinados a cumplir con los tres aspectos bsicos esenciales para el buen servicio al
ciudadano, el cumplimiento de la legalidad vigente y la imagen de la propia entidad:
Confidencialidad: la informacin debe ser conocida exclusivamente por las personas

autorizadas, en el momento y forma prevista.
Integridad: la informacin tiene que ser completa, exacta y vlida, siendo su contenido
el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados.
Disponibilidad: la informacin debe estar accesible y ser utilizable por los usuarios
autorizados en todo momento, debiendo estar garantizada su propia persistencia ante
cualquier eventualidad.
3. mbito de aplicacin.
3.1 mbito funcional
Este Manual se aplicar en el Servicio Andaluz de Salud respecto de sus recursos de informacin
y conocimiento, en la extensin y detalle que se describen en el mismo.
El documento hace especial hincapi en la poltica de seguridad definida por la organizacin para
los ficheros que contienen datos de carcter personal, aunque dicha poltica se aplica a todos
aquellos ficheros y recursos, protegidos o no, que contengan o traten datos automatizados, sin
olvidar que la proteccin alcanza al tratamiento de datos no automatizados, es decir, que se
encuentren en soportes fsicos.
3.2 mbito personal

La Poltica de Seguridad contenida en el presente Manual es de obligado cumplimiento para todos
los empleados del S.A.S. Este Manual se encuentra inserto en la Intranet del S.A.S., debindose
proceder a su lectura, y en el caso que no entendiesen algunos de los aspectos que en l se
regulan, o tuviesen dudas sobre su contenido, debern ponerlo en conocimiento del Director de su
Centro, rea o Servicio a efecto de que estas dudas puedan ser resueltas, y, como consecuencia
de ello, se alcance una mayor eficacia en el cumplimiento de las obligaciones que aqu se
recogen.
Por principio, todo el personal del S.A.S. est obligado a guardar la debida discrecin cuando
hable con terceros de asuntos relacionados con ella.
Todas las personas que tengan acceso a datos de Ficheros de carcter personal, bien a travs del
sistema informtico habilitado para acceder al mismo, o bien a travs de cualquier otro medio
automatizado de acceso al Fichero, se encuentran obligadas por ley a cumplir lo establecido en
este documento, y sujetas a las consecuencias que pudieran incurrir en caso de incumplimiento.
3.3 mbito Material

Los Sistemas de Informacin del S.A.S. estn compuestos por: el hardware considerado como el
continente o soporte informtico y los activos de Informacin considerados como el contenido. En
los activos de informacin se incluye tanto el software como los datos.
Las presentes normas de seguridad son de aplicacin a todo el conocimiento del S.A.S., se
encuentre en formato digital, papel o cualquier otro.
Asimismo, estas normas recogen aspectos de seguridad fsica que deben disponer aquellos
lugares, instalaciones, muebles, etc. donde se almacene informacin sensible del S.A.S.
4. Definiciones.
Informacin:
Expresin genrica para indicar todos los datos que pueden ser procesados por cualquier
medio y que tienen un determinado valor para el S.A.S.
LOPD:
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.
Dato de carcter personal:

Cualquier informacin concerniente a personas fsicas identificadas o identificables. (Artculo 3
LOPD).
Fichero de datos de carcter personal:

Todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o
modalidad de su creacin, almacenamiento, organizacin y acceso. (Artculo 3 LOPD).
De cara a su aplicacin entendemos fichero como la aplicacin informtica que recoge y
transforma los datos para proporcionar informacin.
Responsable del Fichero o Tratamiento:

Persona fsica o jurdica, de naturaleza pblica o privada, u organismo administrativo, que
decida sobre la finalidad, contenido y uso del tratamiento.
Encargado del tratamiento:

La persona fsica o jurdica, autoridad pblica, servicio o cualquier otro organismo que, solo o
conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
Declarante:
Persona fsica que cumplimenta la solicitud de preinscripcin y acta como mediador entre la
Agencia y el titular/responsable del Fichero. No debe necesariamente coincidir con el
titular/responsable.
Tratamiento de datos:
Operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la
recogida, grabacin, conservacin, elaboracin, modificacin, visualizacin, bloqueo y
cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias. (Artculo 3 LOPD).
Afectado o interesado:
Persona fsica titular de los datos que sean objeto del tratamiento. (Artculo 3 LOPD)
Procedimiento de disociacin:
Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda
asociarse a persona identificada o identificable.
Bloqueo de datos:
La identificacin y reserva de los datos con el fin de impedir su tratamiento.
Soporte informtico:
Objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cul se puede
grabar o recuperar datos.
Incidencia:
Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
Consentimiento del interesado:

Es toda manifestacin de voluntad, libre inequvoca, especfica e informada, mediante la que
el interesado consienta el tratamiento de datos personales que le conciernen.(Artculo 3
LOPD).
Cesin o comunicacin de datos:

Es toda revelacin de datos realizado a una persona distinta del interesado. (Artculo 3 LOPD).
10
5. Recursos protegidos.
La proteccin de la informacin corporativa frente a accesos no autorizados, se deber realizar
mediante el control de todas las vas por las que se pueda tener acceso a ella.
Los recursos, que por servir de medio directo o indirecto para acceder a la informacin corporativa,
que debern ser controlados por esta normativa son:
1. El servicio/unidad de informtica y locales donde se encuentren ubicados los ficheros o se
almacenen los soportes que los contengan. El servicio/unidad de informtica deber disponer
de una sala adecuada para ubicar los equipos servidores y los soportes de almacenamiento
necesarios, "Sala de Servidores". Su descripcin figura en los Anexos A, apartado 1 y Anexo
D.
2. Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al
Fichero.
3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el
que se encuentra ubicado el Fichero, que est descrito en el Anexo D (Sistemas de
informacin del fichero).
4.
Los sistemas informticos, o aplicaciones establecidos para acceder a los datos, descritos en
el Anexo A, apartado 8 (Descripcin del Sistema de Acceso a la Informacin Corporativa).
11
6. Funciones y obligaciones del personal.

6.1Definicin de perfiles.
La definicin de perfiles que a continuacin se describe responde a la exigencia que marca la
LOPD, por una parte, y por otra, a la necesidad de implantar en el S.A.S. una poltica de seguridad
que abarque no solo la informacin de carcter personal, sino toda la informacin corporativa.
El personal afectado por esta normativa queda clasificado en las siguientes categoras:
Responsable del Fichero, persona fsica o jurdica de naturaleza pblica o privada u

rgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
(Artculo 3 LOPD). Internamente esta figura se concreta en el titular del centro directivo o
representante legal del centro del que dependa el fichero.
Responsable de Seguridad cuyas funciones sern las de coordinar y controlar las

medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el
Responsable del Fichero, sin que esto suponga en ningn caso una delegacin de la
responsabilidad que corresponde a este ltimo. (Artculo 16 RD 994/1999).
Responsable de Sistemas y Tecnologas de la Informacin, ser la persona o entidad

administrativa del propio organismo encargada de las tecnologas de la Informacin y
Comunicaciones corporativas. Tambin puede acumular las funciones de Responsable de
Seguridad.
Usuario Responsable de la Aplicacin/Fichero 1, persona fsica u rgano especfico

del S.A.S., que por delegacin del Responsable del Fichero tiene bajo su responsabilidad
todo lo concerniente a la recogida, grabacin, conservacin, elaboracin, modificacin,
visualizacin, bloqueo y cancelacin, as como las cesiones de datos que resulten de
comunicaciones, consultas, interconexiones y transferencias. Mantiene contacto diario con
la aplicacin, conoce su funcionamiento, vela por la seguridad de la misma y trabaja en
coordinacin con el Responsable de Sistemas y Tecnologas de la Informacin.
Los Usuarios Responsables de la Aplicacin sern los responsables de los Centros, reas
o Servicios que tienen bajo su responsabilidad informacin de carcter personal,
cualquiera que sea su formato.
Encargado del Tratamiento, la persona fsica o jurdica, autoridad pblica, servicio o

cualquier otro organismo que, slo o conjuntamente con otros, trate datos por cuenta del
Responsable del Fichero. (Artculo 3 LOPD).
Figura creada para el caso de contratacin a terceros del tratamiento de los datos. Todas
las empresas contratadas por el S.A.S. y que dispongan de cualquier base de datos del
S.A.S. para el trabajo que tienen que realizar, tienen la consideracin de Encargados del
Tratamiento.
Administradores de Bases de Datos/Red/Sistema, encargados de administrar o

mantener el entorno operativo de la informacin corporativa. Este personal, ser
dependiente del rea de Sistemas ya que por sus funciones pueden utilizar herramientas
de administracin que permitan el acceso a los datos protegidos.
Esta interpretacin es la que se ha recogido en el presente Manual. Algunos tratadistas lo

denominan Responsable Propietario del Fichero, para indicar a la persona jurdica o fsica que
tenga a su cargo el tratamiento de los datos.
12
Debern adems atenerse a aquellas normas, ms extensas y estrictas, que se

referencian en este documento, y que ataen, entre otras, al tratamiento de los respaldos
de seguridad, normas para el alta de usuarios y contraseas, as como otras normas de
obligado cumplimiento en la unidad administrativa a la que pertenece la informacin.
Usuarios, o personal que usualmente utiliza el sistema informtico de acceso a la

informacin corporativa.
6.2Organizacin de Seguridad
Responsable
Fichero
Usuario
Responsable
Aplicacin
Responsable
Seguridad
Responsable
Sistemas y
Tecnologas
(**)
Encargado
Tratamiento
Usuario
Administrador
Sistemas/Red/BD
**El Encargado del Tratamiento depende legalmente, a travs del contrato de prestacin del
servicio correspondiente, del Responsable del Fichero, sin embargo ser el Usuario Responsable
de la Aplicacin correspondiente, quien vele y le exija el estricto cumplimiento de las normas de
seguridad sobre los datos que gestiona.
13
6.3 Todo el Personal

FUNCIONES Y OBLIGACIONES
Todo el personal est obligado a conocer el Manual de Seguridad de la Informacin Corporativa.
Adems de lo que se especifica a continuacin y, de manera ms especfica, es de obligado
cumplimiento el llevar a cabo la RESOLUCIN de 27 de septiembre de 2004, de la Secretara
General para la Administracin Pblica, por la que se establece el manual de
comportamiento de los empleados pblicos en el uso de los sistemas informticos y redes
de comunicaciones de la Administracin de la Junta de Andaluca, adjuntado en el Anexo F
de este manual.
Las funciones y obligaciones que afectan a todo el personal son:
6.3.1
Confidencialidad de la Informacin
1.
Guardarn la debida reserva sobre las materias clasificadas a las que hayan tenido acceso en
razn a su puesto de trabajo u otra circunstancia.
2.
Impedirn el acceso de personas no autorizadas al conocimiento de informacin, en cuya gestin,

tramitacin o custodia participe.
3. El Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los
datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al
deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con
el titular del fichero o, en su caso, con el responsable del mismo. (Artculo 10 LOPD)
4. Queda prohibido extraer datos de un fichero de datos de carcter personal ya existente, o
crear un fichero de datos personales aprovechando los datos de un fichero ya existente, sin la
autorizacin del Responsable del Fichero.
5. Queda prohibido utilizar archivos con datos personales que el S.A.S. no haya comunicado y
registrado ante la Agencia de Proteccin de Datos.
6. Respecto de aquellos archivos que el S.A.S. haya comunicado y registrado en la Agencia de
Proteccin de Datos, se prohbe cruzar informacin relativa a datos de diferentes ficheros o
servicios con el fin de establecer perfiles de personalidad, hbitos de consumo o cualquier otro
tipo de preferencias, sin la autorizacin expresa del responsable del fichero.
6.3.2
Salvaguarda y proteccin de las contraseas personales
1. Cada usuario ser responsable de la confidencialidad de su contrasea y, en caso de que la

misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deber
registrarlo como incidencia y proceder a su cambio o que sta sea cambiada por el
Administrador de Red/Sistemas.
2. Solamente para aquellos casos excepcionales en los que sea necesario continuar con las
funciones que realizaba la persona ausente (debido a una baja o ausencia temporal no
prevista), ser el responsable del Centro, rea, o en caso de ficheros de carcter personal, el
Usuario Responsable de la Aplicacin/Fichero, el que podr solicitar a los administradores el
14

acceso a sus datos, dejando constancia en la aplicacin de Mantenimiento del Sistema de
Informacin.
3. Toda clave cumplir unas normas mnimas, segn detalla en el Anexo A, apartado 9 el
Procedimiento de Acceso al Sistema de Informacin.
4. En el caso de que el Administrador de Sistemas solicite la contrasea/password para tareas
de mantenimiento, la misma deber ser cambiada inmediatamente despus que se termine
con dichas tareas.
6.3.3
Puesto de trabajo
1. El puesto de trabajo estar bajo la responsabilidad de un usuario autorizado que garantizar

que la informacin que muestran no pueda ser visible por personas no autorizadas.
Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos
conectados al puesto de trabajo debern estar fsicamente ubicados en lugares que
garanticen esa confidencialidad.
Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al
finalizar su turno de trabajo, deber dejarlo en un estado que impida la visualizacin de los
datos protegidos.
2. Todos los puestos de trabajo estarn configurados de forma que el tiempo mximo que una
mquina permanecer desbloqueada ser de 60 minutos a partir del momento en que se us
por ltima vez. Obsrvese que esto no entra en conflicto con el hecho de que el usuario pueda
tener configurado un tiempo menor de bloqueo.
3. En el caso de las impresoras deber asegurarse de que no quedan documentos impresos en
la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con
otros usuarios no autorizados para acceder a los datos correspondientes, los responsables de
cada puesto debern retirar los documentos conforme vayan siendo impresos.
4. Queda expresamente prohibida la conexin desde los puestos de trabajo en los que se realiza
el acceso a la informacin corporativa, a redes o sistemas exteriores a travs de dispositivos
que no estn controlados por el sistema de seguridad de la Red Corporativa de Transmisin
de Datos de la Junta de Andaluca. En concreto mdem, enlaces de radiofrecuencia, tarjetas
inalmbricas, routers o bridges WIFI. La revocacin de esta prohibicin ser autorizada por el
Responsable del Fichero, quedando constancia como incidencia.
5. Los puestos de trabajo desde los que se tiene acceso a la informacin corporativa tendrn una
configuracin fija en sus aplicaciones, sistemas operativos que slo podr ser cambiada por el
Administrador de Sistema, el cual deber solicitar autorizacin al Responsable de Sistemas Y
Tecnologas, existiendo unas normas de unificacin de todos los terminales informticos.
Por tanto queda prohibida la instalacin, por parte del usuario, de cualquier tipo de
Aplicaciones/Programas (software) en los puestos de trabajo, as como borrar cualquiera de
los programas instalados.
6. Queda prohibido abrir los equipos o mquinas (hardware) para realizar cualquier tarea sobre
ellos sin autorizacin previa y por escrito del Administrador de Red/Sistemas. Asimismo
tampoco se podrn agregar o retirar partes o componentes de los mismos.
7. No se podrn retirar los equipos de cualquier edificio del S.A.S. sin previa autorizacin escrita.
15
6.3.4
Sistema Informtico y Telemtico de Acceso a la Informacin
.
1. Todos los recursos telemticos e informticos del S.A.S., incluido por tanto Internet y el correo
electrnico, sern usados con fines profesionales directamente relacionados con el puesto de
trabajo del usuario.
2. Queda estrictamente prohibido el uso de programas informticos sin la correspondiente
licencia, as como el uso, reproduccin, cesin, transformacin o comunicacin pblica de
cualquier tipo de obra o invencin protegida por la propiedad intelectual o industrial.
6.3.5
Otros Recursos
1. El empleado, en el momento en que finalice su contrato con el S.A.S. deber entregar a los
responsables de los Centros, reas o Servicios cualesquiera dibujos, anotaciones,
memorandos, especificaciones, esquemas, frmulas, y documentos, junto con todas las
copias de los mismos, y cualquier otro material que contenga o revele cualquier Invencin de
la Empresa, Informacin de Terceras Partes o Informacin clasificada del S.A.S. Asimismo
deber devolver todos aquellos instrumentos de trabajo que le han sido puestos a disposicin
por la compaa: telfono mvil, tarjetas de acceso a edificios y CPD, ordenadores porttiles,
etc., que son propiedad del S.A.S.
6.3.6
Gestin de Incidencias
1. Es obligacin de todo el personal del S.A.S. notificar cualquier incidencia que afecte a la
seguridad de los datos, o presuncin/sospecha de la misma, que se produzca en los sistemas
de informacin a los que tenga acceso y recopilar toda la informacin posible para optimizar el
procedimiento de deteccin del problema.
2. Es obligacin de todo el personal del S.A.S. notificar al Responsable de Seguridad cualquier
otra incidencia, de naturaleza no tcnica, que atente o pueda atentar contra la seguridad de la
3. El conocimiento y la no notificacin de una incidencia por parte de un usuario ser
considerada como una falta del mismo contra la Seguridad del Fichero por parte de ste.
6.3.7
Gestin de soportes
1. Los soportes que contengan datos, bien como consecuencia de operaciones intermedias
propias de la aplicacin que los trata, o bien como consecuencia de procesos peridicos de
respaldo o cualquier otra operacin espordica, debern estar claramente identificados con
una etiqueta externa que indique de qu fichero se trata, qu tipo de datos contiene, proceso
que los ha originado y fecha de creacin.
2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos no pblicos,
debern ser borrados fsicamente antes de su reutilizacin, de forma que los datos que
contenan no sean recuperables.
3. Los soportes que contengan datos no pblicos debern estar almacenados en lugares a los
que slo tengan acceso personas autorizadas.
16

4. Cualquier movimiento total o parcial de un fichero de carcter personal, ya sea en soporte
fsico o transferencia telemtica, fuera de los locales donde est ubicado el fichero deber ser
autorizada por el Responsable del Fichero (artculo 13.2 del RD 994/1999).
5. Cuando los datos de un fichero de carcter personal deban ser enviados fuera del recinto
fsicamente protegido donde se encuentra ubicado el Fichero, bien sea mediante un soporte
fsico de grabacin de datos o bien sea mediante correo electrnico, debern ser cifrados de
forma que slo puedan ser ledos e interpretados por el destinatario.
6. Se debern registrar en el Registro de Entrada/Salida los correos electrnicos o transferencia
de datos de carcter personal por red, de forma que se pueda siempre identificar su origen,
tipo de datos, formato, fecha y hora del envo y destinatario de los mismos.
6.3.8
1. El Administrador de Red/Sistemas/Base de Datos se responsabiliza de realizar las copias de

seguridad de los servidores, y en ningn caso de los ordenadores personales. Esto implica
que la informacin corporativa debe siempre guardarse en el espacio de servidor habilitado
para los profesionales y/o reas concretas.
17
6.4 Responsable del Fichero

FUNCIONES
1. El Responsable del Fichero es el encargado jurdicamente de la seguridad del fichero y de las
medidas establecidas en el presente documento, implantar las medidas de seguridad
establecidas en l y adoptar las medidas necesarias para que el personal afectado por este
documento conozca las normas que afecten al desarrollo de sus funciones. (Artculos 8.1 y
9.2 RD 994/1999).
2. Designar al Responsable de Seguridad. (Artculo 16 RD 994/1999).
3. Notificar a los Usuarios Responsables de Aplicacin/Fichero, Responsable de Sistemas y
Tecnologas de la Informacin, las responsabilidades que asumen al tomar posesin de sus
cargos en lo que respecta a la Seguridad de la Informacin.
4. El Responsable del Fichero se concreta en el titular del centro directivo o representante legal
del centro del que dependa el fichero.
OBLIGACIONES
6.4.1
Poltica de Seguridad de la Informacin Corporativa
1. Implantar las medidas de seguridad establecidas en este documento y garantizar la difusin

de este Documento, a todo el personal relacionado con la informacin corporativa.
6.4.2
Declaracin de Ficheros de Carcter Personal
1. Solicitar a la Consejera de Salud la creacin y publicacin en BOJA de los ficheros que

contengan datos de carcter personal y que sean necesarios para el funcionamiento del
S.A.S.
2. Notificar a la Agencia de Proteccin de Datos los ficheros creados mediante Orden de la
Consejera y publicados en el BOJA.
6.4.3 Ejercicio de derechos de oposicin, acceso, rectificacin o cancelacin de Datos de
Carcter Personal
1. El Responsable del Fichero habilitar los mecanismos para cumplir el procedimiento de
ejercicio del derecho de oposicin, acceso, rectificacin y cancelacin que la Ley otorga, en
los casos que proceda, dejando registro de dicha solicitud.
6.4.4
Gestin de soportes
1. Cualquier movimiento total o parcial de un fichero de carcter personal, ya sea en soporte

fsico o transferencia telemtica, fuera de los locales donde esta ubicado el fichero deber ser
autorizada por el Responsable del Fichero. (Artculo 13.2 del RD 994/1999).
18

El Responsable del Fichero delega esta gestin del movimiento en el Responsable de
Seguridad.
6.4.5
Controles peridicos de verificacin del cumplimiento
1. Al menos cada dos aos, se realizar una auditora, externa o interna que dictamine el
correcto cumplimiento y la adecuacin de las medidas del presente documento de seguridad o
las exigencias del reglamento de seguridad, identificando las deficiencias y proponiendo las
medidas correctoras necesarias. Los informes de auditora sern analizados por el
Responsable de Seguridad, quien propondr al Responsable del Fichero las medidas
correctoras correspondientes. (Artculo 17 RD 994/1999).
19
6.5 Responsable de Seguridad

FUNCIONES
1. Sus funciones sern las de coordinar y controlar las medidas definidas en el documento,
sirviendo al mismo tiempo de enlace con el Responsable del Fichero. (Artculo 16 RD
994/1999).
OBLIGACIONES
6.5.1
1. El Responsable de Seguridad coordinar la puesta en marcha de las medidas de seguridad,

colaborar con el Responsable del Fichero en la difusin y el cumplimiento del Documento de
Seguridad.
2. Deber mantenerlo actualizado siempre que se produzcan cambios relevantes en el sistema
de informacin o en la organizacin del mismo.
3. Deber adecuar en todo momento el contenido del mismo a las disposiciones vigentes en
materia de seguridad de datos, y asegurar que el nuevo documento llega a todo el personal
afectado .
6.5.2
Declaracin de Ficheros de Carcter Personal
1. El responsable de Seguridad analizar la viabilidad de crear un nuevo fichero o solicitar las

modificaciones a ficheros ya declarados.
2. Para la creacin del fichero se solicitar:
Disposicin de creacin del fichero a la Consejera de Salud
Declaracin a la Agencia de Proteccin de Datos
Segn establece el procedimiento de Declaracin de Ficheros de Carcter Personal.
3. El Responsable de Seguridad mantendr siempre actualizado el Anexo B de este documento
donde se relacionan los ficheros que contengan datos de carcter personal, con indicacin de
las referencias: escrito de remisin a la Consejera de Salud, publicacin en BOJA, remisin a
la Agencia de Proteccin de datos, etc.
6.5.3 Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos
de Carcter Personal
1. El Responsable de Seguridad vigilar el correcto cumplimiento en cuanto a la notificacin del
tratamiento de datos de carcter personal al afectado, segn establece el procedimiento para
el ejercicio de derechos de oposicin, acceso, rectificacin y cancelacin de datos de carcter
personal.
2. En caso de recibir una solicitud para ejercer sus derechos, el responsable del Registro de
Entrada/Salida har llegar una copia del impreso al Responsable de Seguridad, el cual a su
20

vez lo reencaminar al Usuario Responsable de la Aplicacin/Fichero correspondiente al
Centro, rea o Servicio (que tiene a su cargo la manipulacin del fichero en cuestin).
3. El Responsable de Seguridad controlar si se estn gestionando adecuadamente las
reclamaciones, los tiempos y si pueden ser causa de algn tipo de sancin por parte de la
Agencia de Proteccin de Datos.
6.5.4
Gestin de incidencias
1. El Responsable de Seguridad implantar las medidas necesarias, segn el Procedimiento de

Registro de Incidencias de Seguridad de la Informacin Corporativa, que estarn a disposicin
de todos los usuarios y administrador de Red/Sistemas/BD con el fin de que se registre,
cualquier incidencia que pueda suponer un peligro para la seguridad del mismo.
2. El Responsable de Seguridad, analizar con periodicidad al menos trimestral las incidencias
registradas, para independientemente de las medidas particulares que se hayan adoptado en
el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias
en el futuro.
6.5.5
Gestin de Soportes
1. El responsable de seguridad, verificar, con periodicidad al menos trimestral, el cumplimiento

de lo previsto en el procedimiento de Gestin de Soportes.
6.5.6
1. Al Responsable de Seguridad le corresponde la supervisin de los soportes de grabacin de

las copias de respaldo y de las relaciones con las empresas externas (siempre que stas
lleven a cabo labores de copias de respaldo y desarrollen la labor de custodia y
aseguramiento de las copias de respaldo), toda vez que se cumpla con las garantas
contractuales y legales necesarias para garantizar la seguridad y confidencialidad de las
copias de respaldo, marcando las responsabilidades de cada parte en estas funciones.
2. Participar en la recuperacin de los datos en la forma descrita en el procedimiento de
respaldo y recuperacin.
3. Realizar la auditora del sistema de copias de respaldo, segn establece el procedimiento
correspondiente, dos veces al ao, documentando el resultado.
6.5.7
Descripcin del Uso del Sistema de Informacin Corporativa
1. Al menos una vez al trimestre revisar, conjuntamente con el Responsable de Sistemas y

Tecnologas de la Informacin, que los sistemas estn actualizados segn recomendaciones
de los fabricantes.
6.5.8
Control de Accesos
1. El Responsable de Seguridad comprobar, con una periodicidad al menos trimestral, que la

lista de usuarios autorizados se corresponde con los usuarios que realmente deben estar
autorizados para el acceso a la aplicacin.
21
6.5.9
Registro de Accesos
1. El Responsable de Seguridad y Responsable de Sistemas y Tecnologas de la Informacin

son los responsables de determinar los registros de accesos que se llevarn a cabo en el
S.A.S.
2. El Responsable de Seguridad revisar peridicamente la informacin registrada elaborando un
informe de incidencias al menos una vez al mes. (Artculo 24.5 RD 994/1999)
6.5.10 Controles Peridicos de Verificacin del Cumplimiento

1. Al menos cada dos aos, se realizar una auditora, externa o interna que dictamine el
correcto cumplimiento y la adecuacin de las medidas del presente documento de seguridad,
identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes
de auditora sern analizados por el Responsable de Seguridad, quien propondr al
Responsable del Fichero las medidas correctoras correspondientes. (Artculo 17 RD
994/1999).
2. Los resultados de las auditoras sern documentados.
22
6.6 Responsable Sistemas y Tecnologas de la Informacin

FUNCIONES
1. Es el responsable de los sistemas tecnolgicos, que dan soporte a la informacin corporativa,
es decir, de las operaciones y procedimientos tcnicos de carcter automatizado que
permiten la recogida, grabacin, conservacin, elaboracin, modificacin, bloqueo y
cancelacin, de la informacin corporativa.
2. Designar a los Administradores del Sistema/Red/Base de datos, y cuya actividad coordinar.
OBLIGACIONES
6.6.1
1. Implantacin de todas las medidas recogidas en este Documento y velar por la

confidencialidad, disponibilidad, consistencia e integridad de los datos.
6.6.2
1. Autorizar, a propuesta del Administrador de Sistemas/Red/Base de Datos, los cambios en el

software y en el equipamiento informtico y de comunicaciones.
2. Comunicar al Responsable de Seguridad cualquier cambio que se haya realizado en la
configuracin de hardware o software, procediendo igualmente a la actualizacin de este
documento si procede.
6.6.3
Gestin de Incidencias
1. Se encargar de que se d solucin a las incidencias ocurridas y registradas en la aplicacin

de Mantenimiento del Sistema de Informacin.
6.6.4
Descripcin del Uso del Sistema de Informacin Corporativa
1. Velar por el cumplimiento de los requisitos de documentacin de los sistemas, establecidos

en el Anexo A, apartado 8 de Descripcin del Uso del Sistema de Informacin Corporativa.
2. Al menos una vez al trimestre revisar, conjuntamente con el Responsable de Seguridad, que
los sistemas estn actualizados segn recomendaciones de los fabricantes.
6.6.5
Control de Accesos
1. Se encargar de que los sistemas informticos tengan su acceso restringido mediante un

cdigo de usuario y una contrasea y con las caractersticas que establece en el Anexo A,
apartado 9, Procedimiento de Acceso al Sistema de Informacin.
23
6.6.6
Registro de accesos
1. El Responsable de Seguridad y Responsable de Sistemas y Tecnologas de la Informacin

son responsables de determinar los registros de accesos que se llevarn a cabo en el S.A.S.
24
6.7 Usuario Responsable de la Aplicacin/Fichero

FUNCIONES
1. Contacto directo con la explotacin diaria de la aplicacin y conociendo su funcionamiento
pormenorizado vele por el mantenimiento de seguridad de la misma, trabaje en coordinacin
con el Responsable de Sistemas y Tecnologas de la Informacin, siguiendo las pautas de
seguridad dictadas por el Responsable de Seguridad.
2. Se corresponde con el responsable, del S.A.S., de la actividad correspondiente.
OBLIGACIONES
6.7.1 Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos
de Carcter Personal
1. El Usuario Responsable de la Aplicacin/Fichero estudiar la reclamacin y elaborar un
escrito de comunicacin al reclamante, en sentido aprobatorio o denegatorio, indicando en
este ltimo caso las causas, hacindole ver que pueden ejercitar el derecho de reclamacin
ante la Agencia de Proteccin de Datos. El escrito deber ir firmado por el Responsable del
Fichero. Se deber tener muy en cuenta los plazos fijados por la normativa a aplicar.
2. En caso de que se proceda a hacer efectivo alguno de los derechos el Usuario Responsable
de la Aplicacin/Fichero analizar si existieron cesiones para notificarlo a quien trate los datos
cedidos y notificar los cambios al Encargado del Tratamiento en caso de que exista.
3. El Usuario Responsable de la Aplicacin/Fichero ser el encargado de hacer efectivo el
derecho reclamado en la forma y plazo que establece el procedimiento para el ejercicio de
oposicin, acceso, rectificacin y cancelacin de datos de carcter personal.
6.7.2
Gestin de Soportes
1. El Usuario Responsable de la Aplicacin/Fichero crear un inventario de soportes y

transferencias donde registrar cada soporte que contenga informacin de carcter personal o
confidencial, o cualquier transferencia telemtica de dicha informacin, segn el procedimiento
de gestin de soportes
2. La preparacin de soportes informticos para su posterior envo, con informacin clasificada
como confidencial o personal de nivel alto, ya sea en formato fsico (disquete, CDROM,
listado, etc.) o en formato electrnico (correo electrnico), ser realizada por el Usuario
Responsable de la Aplicacin/Fichero. La autorizacin de la salida la llevar a cabo el
Responsable del Fichero2. (Artculo 13.2 RD 994/1999).
El RD 994/1999 establece en su artculo 13.2 que la autorizacin ser del Responsable del
Fichero. Sin embargo para una ms gil operativa se establece en el S.A.S. que la autorizacin
ser del Usuario Responsable de la Aplicacin/Fichero por ser quien vela en su operativa diaria
por el cumplimiento de las normas establecidas sobre la informacin que trata.
25
6.7.3
1. Para poder proceder a la recuperacin de informacin, a partir de las copias de respaldo, se

3
tendr que recabar la autorizacin previa del Usuario Responsable de la Aplicacin/Fichero
(Artculo 21.2 RD 994/1999).
6.7.4
Control de Accesos
1. Proponer las altas y bajas de acceso de usuarios a su aplicacin y/o informacin

correspondiente en la aplicacin de Mantenimiento del Sistema de Informacin, segn
establece el Anexo A, apartado 9 de Procedimiento de Acceso al Sistema de Informacin.
Es importante resaltar la obligatoriedad de notificar la baja, en el momento que se conozca,
del personal que deba dejar de tener acceso a la informacin corporativa.
2. El Usuario Responsable de la Aplicacin/Fichero comprobar, con una periodicidad al menos

trimestral, que la lista de usuarios autorizados de su rea o Sede se corresponde con la lista
de los usuarios realmente autorizados en la aplicacin de acceso a la informacin corporativa,
para lo que recabar la lista de usuarios y su identificador de acceso al administrador,
notificando toda variacin (alta/baja/modificacin) segn se determina en apartados anteriores.
6.7.5
Externalizacin de Servicios
1. En caso de externalizar el servicio o tratamiento de su responsabilidad, velar por el

cumplimiento de las obligaciones contractuales del Encargado del Tratamiento que
corresponda.
El RD 994/1999 establece que la autorizacin ser por parte del Responsable del Fichero. En el
S.A.S. se establece que dicha autorizacin se delega al Usuario Responsable de la
Aplicacin/Fichero, como persona ms en contacto con la operativa diaria.
26
6.8 Encargado del Tratamiento

FUNCIONES
1. Tratamiento de la informacin corporativa conforme a las instrucciones que expresamente
figuran en este Manual.
RESPONSABILIDADES
1. El Encargado del Tratamiento adquiere una responsabilidad contractual con el S.A.S. si
menoscaba alguna de las normas que se relacionan en el presente manual.
OBLIGACIONES
1. Cumplir las instrucciones del Usuario Responsable de la Aplicacin/Fichero y la finalidad
sealada en el contrato.
2. Preservar que slo tengan acceso, y a la informacin correspondiente, las personas
autorizadas para ello, actuando nicamente con el alcance que le haya sido fijado: slo
consulta, modificacin, etc.
Para ello propondr las altas y bajas de acceso de usuarios a su aplicacin y/o informacin
correspondiente en la aplicacin de Mantenimiento del Sistema de Informacin, segn
establece el Anexo A, apartado 9 de Procedimiento de Acceso al Sistema de Informacin.
Es importante resaltar la obligatoriedad de notificar la baja, en el momento que se conozca,
del personal que deba dejar de tener acceso a la informacin corporativa.
3. Hacer cumplir todas las funciones, obligaciones y recomendaciones que se recogen en el
apartado 6.3 del presente Manual, respecto a todos sus usuarios que traten la informacin
corporativa del S.A.S.
4. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser
destruidos o devueltos al Usuario Responsable de la Aplicacin/Fichero, al igual que cualquier
soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento.
27
6.9 Administradores de Bases de Datos/Sistemas/Red

FUNCIONES
1. Mantener los sistemas de acceso a la informacin corporativa.
2. Dispondrn de los mximos privilegios. Tendrn acceso al software (programas y datos) del
sistema, a las herramientas necesarias para su trabajo y a los ficheros o bases de datos
necesarios para resolver los problemas que surjan.
OBLIGACIONES
6.9.1
1. Impedir que existan herramientas o programas de utilidad que permitan accesos no

autorizados a informacin corporativa.
En la norma anterior se incluye cualquier medio de acceso en bruto, es decir no elaborado o
editado, a los datos, como los llamados "queries", editores universales, analizadores de
ficheros, etc., que debern estar bajo el control de los administradores autorizados.
2. Ser responsabilidad del Administrador de Red/Sistemas/Base de Datos mantener
completamente actualizados los sistemas, en todo momento, con las actualizaciones que
recomiende el fabricante, a fin de eliminar todas aquellas vulnerabilidades, en cuanto a
seguridad, que sean posibles.
3. Si la aplicacin o sistema de acceso a la informacin corporativa utilizase usualmente ficheros
temporales, ficheros de "log", o cualquier otro medio en el que pudiesen ser grabados copias
de los datos protegidos, el administrador deber asegurarse de que esos datos no son
accesibles posteriormente por personal no autorizado.
4. Se asegurar en todo caso que el sistema de eliminacin de ficheros temporales establecido
en el S.A.S. funciona correctamente.
5. Si en un ordenador est ubicada informacin corporativa no pblica, y el ordenador est
integrado en una red de comunicaciones de forma que desde otros ordenadores conectados a
la misma sea posible el acceso a la informacin corporativa, el administrador responsable del
sistema deber asegurarse de que este acceso no se permite a personas no autorizadas.
6. Los Administradores de Red/Sistemas/Base de Datos ejecutarn, previa autorizacin del
Responsable de Sistema y Tecnologas de la Informacin y del Usuario Responsable de la
Aplicacin/Fichero correspondiente, cualquier cambio en la configuracin del hardware y
software de acceso a la informacin corporativa, procediendo igualmente a la actualizacin de
la documentacin correspondiente.
6.9.2
1. El Administrador de Sistema/Red/BD es el responsable de realizar las copias de respaldo, de

realizar la verificacin de que las copias se hayan hecho de forma correcta y de realizar las
recuperaciones de la informacin, as como de tener un registro en el que se anotarn todas
28

las posibles incidencias que ocurran al realizar las copias y todas las recuperaciones de
informacin que se tengan que hacer.
2. En caso de fallo del sistema con prdida total o parcial de los datos aplicar los
procedimientos, informticos o manuales, que partiendo de la ltima copia de respaldo y del
registro de las operaciones realizadas desde el momento de la copia, reconstruya los datos al
estado en que se encontraban en el momento del fallo. (Artculo 14.2 RD 994/1999).
3. Al menos con periodicidad trimestral, realizar una recuperacin de las copias de respaldo que
permitan la recuperacin de la informacin corporativa, segn lo estipulado en el
procedimiento de Respaldo y Recuperacin.
4. El administrador deber responsabilizarse de inventariar, identificar, registrar y guardar en
lugar protegido las copias de seguridad y respaldo segn establece el procedimiento de
respaldo y recuperacin.
6.9.3
Descripcin del Sistema de acceso a la Informacin Corporativa
1. Los Administradores de Red/Sistemas/Base de Datos ejecutarn, previa autorizacin del

Responsable de Sistemas y Tecnologas de la Informacin y del Usuario Responsable de la
Aplicacin/Fichero correspondiente, cualquier cambio en la configuracin del hardware y
software de acceso a la informacin corporativa, procediendo igualmente a la actualizacin de
la documentacin correspondiente.
6.9.4
Control de Accesos
1. Ejecutar las solicitudes del Usuario Responsable de la Aplicacin/Fichero, para el cambio de

permisos de accesos a la informacin corporativa, altas y bajas, segn el Procedimiento de
Acceso al Sistema de Informacin (Anexo A, apartado 9).
2. Las contraseas se asignarn y se cambiarn mediante el mecanismo y periodicidad que se
determina en el Procedimiento de Acceso al Sistema de Informacin (Anexo A, apartado 9).
Este mecanismo de asignacin y distribucin de las contraseas deber garantizar la
confidencialidad de las mismas, y ser responsabilidad del administrador del sistema.
3. EL Administrador de Sistemas/Red realizar el seguimiento y control del funcionamiento de la
administracin de contraseas del sistema.
6.9.5
Registro de Accesos
1. El Administrador de Sistemas/Red/Base de Datos designado, ser el encargado de activar el

sistema de registro de accesos segn establece el procedimiento de Registro de Accesos
(Anexo A, apartado 10).
2. Se controlarn los intentos de acceso fraudulento a la informacin corporativa, limitando el
nmero mximo de intentos fallidos segn determine el Procedimiento de Acceso al Sistema
de Informacin (Anexo A, apartado 9), y, cuando sea tcnicamente posible, guardando en un
fichero auxiliar la fecha, hora, cdigo y clave errneas que se han introducido, as como otros
datos relevantes que ayuden a descubrir la autora de esos intentos de acceso fraudulentos.
3. Ser necesario tambin, cuando se autorice el acceso a un fichero con datos de carcter
personal y considerado de nivel alto, guardar la informacin que permita identificar el registro
accedido.
29
Anexo A. NORMAS Y PROCEDIMIENTOS DE SEGURIDAD.

1.
Seguridad de la Sala de Servidores.
2.
Procedimiento de Declaracin de Ficheros de Carcter

Personal.
3.
Procedimiento para el Ejercicio de los Derechos de

Oposicin, Acceso, Rectificacin o Cancelacin de Datos de
Carcter Personal.
4.
Procedimiento de Relaciones Contractuales con Empresas

Externas con Acceso a Informacin Corporativa.
5.
Registro de Incidencias de Seguridad de la Informacin

Corporativa.
6.
Procedimiento de Gestin de Soportes.
7.
Procedimientos de Respaldo y Recuperacin.
8.
Descripcin
Corporativa.
9.
Procedimiento de Acceso al Sistema de Informacin.
del
Uso
del
Sistema
de
Informacin
10. Registro de Accesos.

11. Controles Peridicos de Verificacin del Cumplimiento.
30
Seguridad de la Sala de Servidores

OBJETIVO
Definir los mnimos funcionales y recomendaciones que deben cumplir las Salas de Servidores.
DESCRIPCIN
1. Los locales donde se ubiquen los ordenadores, equipos de comunicaciones y soportes que
contengan informacin corporativa, deben ser objeto de especial proteccin que garantice la
disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que
estn conectados a red. Previniendo la interrupcin de los servicios informticos, dao fsico,
difusin de la informacin no autorizada, prdida de integridad de los datos y robo.
2. Los locales debern contar con los medios mnimos de seguridad que eviten los riesgos de
indisponibilidad de los datos, que pudieran producirse como consecuencia de incidencias
fortuitas o intencionadas. La informacin sobre los medios necesarios son:
Descripcin de la ubicacin fsica.

Tipo de control de acceso a locales.
Sistemas contra incendios.
Sistema de continuidad elctrica.
Control de temperatura y humedad.
Equipamiento: armarios ignfugos, etc.
El CTI del SAS se encuentra ubicado en la planta stano del edificio del Servicio Andaluz de
Salud situado en la Calle Amrico Vespucio n 13, 41092 Sevilla. Tambin existen oficinas
pertenecientes al CTI del SAS en las plantas cero y segunda de dicho edificio.
La sala de servidores se encuentra en el stano del edificio. Dicha sala esta a su vez dividida
en dos salas, una que albergar todos los servidores, y otra donde estarn todos los
operadores de la sala de servidores. Para poder acceder a la sala de servidores hay que
atravesar la sala de operadores.
3.
El acceso a los locales donde se encuentren ordenadores, equipos de comunicaciones y

soportes que contengan informacin corporativa, deber estar restringido exclusivamente a
los administradores de los sistemas que deban realizar labores de mantenimiento para las que
sean imprescindibles el acceso fsico. Dotando de medidas que limiten el libre acceso y la
identificacin de los mismos.
Cuando deba acceder personal externo para prestar servicios tcnicos (instalaciones,
mantenimientos ,etc.) su visita deber estar prevista, avisada con antelacin y supervisada.
Exclusivamente el personal autorizado en el documento de seguridad podr tener acceso a
los locales donde se encuentren ubicados los sistemas de informacin con datos de carcter
personal(Art. 19 del Reglamento de Medidas de Seguridad)
El CTI se encuentra situado en un edificio. Para poder entrar a este edificio es necesario tener
una tarjeta dotada con banda magntica y contrasea. Esta tarjeta tiene que ser autorizada por
el Jefe de Servicio de Informtica del SAS previa solicitud formal para tal efecto, y la da de alta el
Responsable de los Operadores del CTI.
Si eres una persona que no puede acceder al recinto, en la entrada existe un vigilante de
seguridad que se encarga de recoger en un libro - registro todas las entradas realizadas al
recinto, apuntando el nombre, apellidos y DNI de la persona que entra, la hora de entrada, la
31

empresa a la que pertenece y la persona o cargo con el que tiene la entrevista. El encargado de
almacenar estos libros con los datos de las personas que acceden al recinto es personal de la
empresa AGESA.
Para poder entrar a la sala de servidores, solo pueden hacerlo personal autorizado, que en
este caso son el responsable y los operadores del CTI. Si otra persona quiere entrar al recinto
existe un telefonillo con cmara de vigilancia. Para entrar a las salas donde se encuentran los
distintos departamentos del Servicio de Informtica del SAS se utiliza la tarjeta con contrasea.
4.
Los locales dispondrn de medidas suficientes para el control de incendios.

Sistemas de deteccin mediante sensores adecuados (detectores de calor/humo).
Conexin a alarma centralizada.
Sistema de extincin automtico por desplazamiento de oxgeno. (Fuego Elctrico)
Sistema de Pulsador de disparo/aviso dentro y fuera de la sala.
Alarma Sonora del sistema de extincin automtico.
Sistema de control y gestin POWER OFF/POWER ON para cada Sistema Operativo
(integrando los procesos de desconexin y reconexin de base de datos y usuarios, as como
log de la incidencia)
a) Sistemas de deteccin y alarma

Los sistemas automticos de deteccin de incendio y sus caractersticas y especificaciones
seajustarn a la norma UNE 23.007(apartado 1.1 del apndice 1 del reglamento de instalaciones
de proteccin contra incendios)
Los detectores de incendio necesitarn, antes de su fabricacin o importacin, ser aprobados
acuerdo con lo indicado en el articulo 2 del Reglamento de instalaciones de proteccin contra
incendios, el cual dice lo siguiente: El cumplimiento de las exigencias establecidas en este
Reglamento para aparatos, equipos, sistemas o sus componentes deber justificarse, cuando as
se determine, mediante certificacin de organismo de control que posibilite la colocacin de la
correspondiente marca de conformidad a normas.
Un sistema de deteccin automtica y alarma de incendios es aquel que es capaz de transmitir
una seal automtica mediante detectores o manual a travs de los pulsadores desde el lugar en
el que se produce el incendio hasta una central vigilada y la posterior comunicacin de la alarma a
los servicios contra -incendios y al personal implicado.
Dichos sistemas estarn formados por los siguientes elementos:
-
La instalacin de detectores automticos de incendios, formado por una serie de detectores,

situados en los locales a proteger, accionados por los fenmenos desencadenados por el
incendio. En el CTI del SAS, dichos detectores automticos se encuentran instalados en tres
ambientes diferentes:
1. Ambiente en el falso techo.
2. Ambiente en el suelo.
3. Ambiente entre el falso techo y el suelo.
El equipo es del tipo direccionable, permitiendo la identificacin individual de cada uno de
los puntos de deteccin, por parte de la central de alarma, situada en el Centro de Control
(CECO) .Todos los detectores de humo empleados son del tipo inico y termovelocimtrico.
El sistema se completa por medio del pulsador de alarma, conectado a la central de alarmas,
e identificable punto a punto
32
Se realizan revisiones de mantenimiento cada tres meses de los sistemas de deteccin contra
incendios.
-
La instalacin de pulsadores de disparo/ aviso, integrada por pulsadores manuales de alerta,

los cules siempre requerirn la intervencin del hombre para su funcionamiento, e informarn
de la presencia de un incendio descubierto por los ocupantes del edificio. Los pulsadores de
alarma se situarn de modo que la distancia mxima a recorrer, desde cualquier punto hasta
alcanzar un pulsador, no supere los 25 metros(apartado 2 del apndice 1 del reglamento de
instalaciones de proteccin contra incendios)
Dichos pulsadores de disparo/ aviso se encuentran en una caja de mandos situada en la
entrada de la sala de operadores del CTI. Al estar divididas las salas en tres ambientes
diferentes, en el cuadro de mandos existirn tanto un pulsador como un inhibidor para cada
ambiente. La distancia que un operador de la sala de servidores u otra persona que se
encuentre tanto en la sala de operadores como en la sala de servidores tiene que recorrer
hasta llegar al pulsador no supera los 25 metros.
La instalacin de alarma, est formada por los indicadores pticos, acsticos u pticoacsticos. Estos suelen ser las sirenas electrnicas y campanas, las luces estroboscpicas y
los combinados de ambos.
El sistema de comunicacin de la alarma permitir transmitir una seal diferenciada, generada
voluntariamente desde un puesto de control. La seal ser en todo caso, audible, debiendo
ser, adems, visible cuando el nivel de ruido donde deba ser percibida supere los 60 dB(A)
(apartado 3 del apndice 1 del reglamento de instalaciones de proteccin contra incendios)
Cuando salta la alarma contra incendios en la sala de servidores, la sirena suena con un nivel
audible bastante alto. Dicha alarma saltar tambin en el control de seguridad que se
encuentra en la entrada principal del recinto.
La central de incendios, ser la encargada de alimentar y supervisar todos los equipos

anteriores, recibir la informacin de los detectores y pulsadores y dirigir las transmisiones de
alarmas al edificio y al exterior.
Los sistemas de comunicacin de alarma, son los encargados de enviar los eventos
aparecidos en el sistema a un centro receptor de alarmas o a los servicios implicados. Estos
sistemas disminuyen los tiempos de respuesta a incidentes, e incrementa el nivel de
seguridad. Cuando salta la alarma en la sala de servidores, tambin lo hace en la sala de los
vigilantes de seguridad para avisarle que existe un incendio o una avera en la sala de
servidores. Los mismos vigilantes de seguridad sern los encargados de avisar a las
dotaciones de bomberos en el caso de que el fuego se complicara.
b) Agentes extintores
Los extintores de incendio, sus caractersticas y especificaciones se ajustarn al Reglamento
de Aparatos a Presin y a su instruccin Tcnica Complementaria MIE-AP5. Los extintores de
incendio, necesitaran, antes de su fabricacin o importacin, con independencia de lo
establecido por la ITC-MIE.AP5, ser aprobados de acuerdo con lo establecido en el artculo 2
del Reglamento de instalaciones de proteccin contra incendios, Real Decreto 1942/1993, a
efectos de justificar el cumplimiento de lo dispuesto en la norma UNE 23.110.
En todo edificio, se dispondrn extintores y nmero suficiente para que el recorrido real en
cada planta desde cualquier origen de evacuacin hasta un extintor no supere los 15 metros.
33
En los locales o zonas de riesgo especial que se indica en el artculo 19 se instalarn

extintores de eficacia como mnimo 21 A o 55 B, segn la clase de fuego previsible, conforme
a los criterios siguientes:
Se instalar un extintor en el exterior del local o de la zona y prximo a la puerta de acceso;
este extintor podr servir simultneamente a varios locales o zonas.
En el interior del local o de la zona se instalarn adems los extintores suficientes para que la
longitud del recorrido real hasta alguno de ellos, incluido el situado en el exterior, no sea mayor
que 15 m en locales de riesgo medio o bajo, o que 10 m en locales o zonas de riesgo alto,
cuya superficie construida sea menor que 100 m2. Cuando estos ltimos locales tengan una
superficie construida mayor que 100 m2 los 10 m de longitud de recorrido se cumplirn con
respecto a algn extintor instalado en el interior del local o de la zona.(Art. 20.1 Real Decreto
2177/1996 de 4 de Octubre)
En el CTI del Servicio Andaluz de Salud existen instalados suficientes extintores manuales,
todos ellos con la carga vigente. Hay 4 extintores de 6kg y otros 4 extintores de 12kg, con una
separacin entre ellos de entre 3 y 4 metros de distancia. La ubicacin de cada extintor est
sealizada de tal forma que permita una fcil localizacin de los mismos.
El emplazamiento de los extintores permitir que sean fcilmente visibles y accesibles,
estarn situados prximos a los puntos donde se estime mayor probabilidad de iniciarse el
incendio, a ser posible, prximos a las salidas de evacuacin y preferentemente sobre
soportes fijados a parmetros verticales, de modo que la parte superior del extintor quede,
como mximo, a 1.70 metros del suelo. Para evitar que el extintor entorpezca la evacuacin,
en escaleras y pasillos es recomendable su colocacin en ngulos muertos.
Estos extintores estn permanentemente presurizados, y cuya presin de impulsin se
consigue con ayuda de un gas propelente, inerte, como el nitrgeno seco, en el caso de los
extintores de la sala de servidores.
Todo extintor debe llevar un dispositivo adecuado que pueda interrumpir temporalmente la
salida del agente extintor una vez efectuado el disparo.(Art. 8-1.3 del ITC MIE AP5)
Todos los extintores de incendios y botellines deben de proyectarse de forma que permitan la
verificacin de su estanqueidad a intervalos regulares. (Art. 8-2 del ITC MIE AP5)
Los extintores permanentemente presurizados deben de estar equipados con un manmetro
indicador de presin que debe sealar si la presin interna del extintor no ha cado a un nivel
inferior al necesario para un funcionamiento correcto del mismo. Adems, deben estar
equipados de un dispositivo que permita medir directamente la presin del gas con un aparato
de medida independiente, o bien verificar el correcto funcionamiento del manmetro de que
est provisto el extintor. (Art. 8-2.3 del ITC MIE AP5).
Todos los extintores de presin incorporada y botellines deben someterse a un ensayo de
estanqueidad cuando son cargados o recargados. (Art. 8-2.4 del ITC MIE AP5)
En la sala de servidores los agentes extintores porttiles que se encuentran contienen Polvo
Seco ABCE de 6 y 12 kg, adecuados( segn la norma UNE 23.010) para apagar fuegos de
materiales slidos, lquidos y gases. El recipiente que contenga el polvo deber mantenerse
cerrado para evitar que absorba humedad, as como almacenarse en lugar seco. La recarga
de extintores deber hacerse en sitio seco. Las bajas temperaturas no afectan al
comportamiento del polvo, pero no se permitir que la temperatura de almacenamiento
alcance los 60 C ya que el polvo se inutilizara.
El extintor ir provisto de una placa de diseo, que llevar grabados los siguientes datos:
34
Presin de diseo (presin mxima de servicio)
Numero de la placa de diseo que se asigne a cada aparato, el cul ser exclusivo para
cada extintor.
Fecha de la primera prueba y sucesivas, y marca de quien la realiza.
La fijacin de esta placa ser permanente, bien por remache o soldadura, autorizndose
en los extintores que carezcan de soporte para la misma, que la placa sea adherida por
otro medio, siempre que se garantice su inamovilidad.
Dichas placas, que sern facilitadas por los respectivos rganos competentes de la
Administracin, sern metlicas, debiendo resistir sin deterioro sensible la accin del los
agentes externos, con los que normalmente estn en contacto a lo largo de la vida til del
extintor, de modo que en todo momento sean legibles sus indicaciones.
Dicha placa se muestra en la figura siguiente:

Todos los extintores irn, adems, provistos de una etiqueta de caractersticas que deber
contener como mnimo los siguientes datos:
Figura 1.Placa de diseo de un extintor
Nombre o razn social del fabricante o importador que ha registrado el tipo al que
corresponde al extintor.
Temperatura mxima y mnima del servicio.
Productos contenidos y cantidad de los mismos.
Eficacia para extintores porttiles de acuerdo con la norma UNE 23-110.
Tipos de fuego para los que no debe utilizarse el extintor.
Instrucciones de empleo
35
Fecha y contrasea correspondiente al registro de tipo
La placa de diseo y etiqueta de caractersticas irn redactadas al menos en castellano.
La empresa mantenedora colocar en todo extintor que haya mantenido y/o recargado fuera
de la etiqueta del fabricante del mismo, una etiqueta con su nmero de autorizacin, nombre,
direccin, fecha en la que se ha realizado la operacin fecha en que debe realizarse la
prxima revisin, entregando adems al propietario del aparato un certificado del
mantenimiento realizado en el que conste el agente extintor, el gas propelente, las piezas o
componentes sustituidos y las observaciones que estime oportunas.(Disposicin Transitoria
nica de Orden de 10 de marzo de 1998 para la modificacin de ITC MIE AP5)
El RIPCI establece las condiciones mnimas de mantenimiento a las que deben ser sometidos
los extintores instalados como proteccin, siendo de dos tipos:
Operaciones a realizar por el personal del titular de la instalacin o equipo.
a) Cada tres meses:

Comprobacin de la accesibilidad, buen estado aparente de conservacin de precintos,
inscripciones, manguera, etc.
Operaciones a realizar por el personal especializado del fabricante o instalador del
equipo o sistema, que obligatoriamente debern estar registrados en la Delegacin de
Industria de cada Comunidad Autnoma.
b) Anualmente:
Verificacin del estado de la carga, (peso, presin) y en el caso de extintores de polvo
con botelln impulsor, estado del agente extintor.
Comprobacin de la presin de impulsin del agente extintor, mediante aparato de
comprobacin independiente.
Estado de la manguera, boquilla o lanza, vlvulas y partes mecnicas.
c) Cada cinco aos:
A partir de la fecha de timbrado del extintor (y por tres veces) se retimbrar el extintor de
acuerdo con la ITC MIE-AP5 del Reglamento de Aparatos a presin sobre extintores de
incendio.
Verificacin del estado de la carga, (peso, presin) y en el caso de extintores de polvo
con botelln impulsor, estado del agente extintor.
Comprobacin de la presin de impulsin del agente extintor, mediante aparato de
comprobacin independiente.
Estado de la manguera, boquilla o lanza, vlvulas y partes mecnicas.
36
c) Extincin automtica de incendios

Tanto las caractersticas de los agentes extintores gaseosos como la utilizacin de los mismos
debern garantizar la seguridad de los ocupantes y la proteccin del medio ambiente. .(Art. 20.7
Real Decreto 2177/1996 de 4 de Octubre)
Se prohbe el uso de los halones, en sistemas instalados, a partir del 31 de diciembre de 2002 y se
insta a decomisar los sistemas de proteccin contra incendios que contengan halones antes del 31
diciembre de 2003.
Se prescriben fechas de prohibicin de la produccin de estas sustancias, aunque se permite la
fabricacin para usos esenciales.
De modo explcito cita que los clorufluorocarburos, totalmente halogenados, los halones, el
tetracloruro de carbono, el 1-1-1 tricloroetano, los hidrobromofluorocarburos contenidos en:
Aparatos de refrigeracin y aire acondicionado.
Aparatos que contengan disolventes
Sistemas de proteccin contra incendios y extintores
Espumas rgidas.
De acuerdo al Reglamento CE 3093/94, se ha elaborado la siguiente tabla incluyendo slo
aquellas sustancias implicadas en el sector de los extintores:
Grupo
Grupo III
Halones
Grupo VIII
Hidroclorofluorocarburos
Nombre genrico
Halon-1211
Halon-1301
Halon-2402
HCFC-22
HCFC-123
HCFC-124
Prohibicin de la produccin
A partir del 01-01-1994
A partir del 01-01-1996
Tabla 1. Sustancias prohibidas en los extintores
(Reglamento (CE) n 3093/94 del Consejo de 15 de diciembre de 1994 relativo a las sustancias
que agotan la capa de ozono.)
Programa de eliminacin:
1. Hasta el 31 de diciembre de 2002, est permitido el uso de halones reciclados o regenerados
en los sistemas de proteccin contra incendios y en los extintores instalados. Es decir,
autorizadas las recargas por actuacin y por operaciones de mantenimiento (retimbrados)
2. El 1 de enero de 2003, fin de la autorizacin de recargas.
3. Entre el 1 de enero de 2003 y el 31 de diciembre de 2003, los sistemas pueden mantenerse

en servicio. En caso de disparo por actuacin o por necesidades del mantenimiento, la
instalacin debera desmantelarse.
El 31 de diciembre de 2003, es la fecha lmite para que los sistemas de proteccin contra
incendios, y los extintores que contengan halones, sean retirados del servicio y el halon
recuperado. Reglamento (CE) n 2037/00 sobre las sustancias que agotan la capa de ozono.
Hasta mediados del 2004 el gas que se estuvo utilizando fue el gas Haln. Debido al nuevo
reglamento sobre las sustancias que agotan la capa de ozono, tuvo que ser sustituido por otro tipo
37

de gas. Este es el gas FE13, el cul tiene un tiempo de descarga que no es superior a los diez
segundos y es muy eficaz en zonas de bajas temperaturas que tengan los techos altos, como es el
caso de la sala de servidores.
Este gas es utilizado en los extintores de los tres ambientes existentes tanto en la sala de
servidores como en la sala de operadores de la sala de servidores.
Los sistemas por agentes extintores gaseosos estarn compuestos, como mnimo, por los
siguientes elementos:
1) Mecanismo de disparo
2) Equipos de control de funcionamiento elctrico o neumtico
3) Recipientes para gas a presin
4) Conductos para el agente extintor
5) Difusores de descarga
Los mecanismos de disparo sern por medio de detectores de humo, elementos fusibles,
termmetro de contacto o termostatos o disparo manual en lugar accesible.
La capacidad de los recipientes de gas a presin deber ser suficiente para asegurar la extincin
del incendio y las concentraciones de aplicacin se definirn en funcin del riesgo, debiendo
quedar justificados ambos requisitos. Estos sistemas slo sern utilizables cuando quede
garantizada la seguridad o la evacuacin. (apartado 13 del apndice 1 del reglamento de
instalaciones de proteccin contra incendios)
d) Salida de emergencia desde la sala de servidores

Las salidas de emergencia que tiene la sala de servidores se encuentran dibujadas de color rojo
en el siguiente plano. Tanto la sala de operadores del CTI, como la sala de servidores del CTI y
sala de imprenta se encuentran dibujadas en color amarillo.
38
Figura 2. Vas de evacuacin y sectores de incendio. Planta Stano
39

Los humos, gases corrosivos y humedades procedentes de otros fuegos del edificio donde se
ubiquen estos locales tambin pueden afectar, por tanto es necesario evaluar la seguridad contra
incendios del resto del edificio.
El edificio cuenta con una serie de instalaciones de extincin de incendios, que son las siguientes:
e) Hidrantes exteriores
El recinto del edificio dispone, en un radio de 200 metros en torno a su permetro, de un total de 3
hidrantes exteriores.Uno de ellos se encuentra inmediatamente prximo al edificio, a una distancia
aproximada de unos 25 metros. En los tres casos, se trata de equipos dotados de dos tomas de 70
mm, con racor tipo Barcelona
f) Extintores porttiles
En el resto del edificio del CTI del SAS existen instalados suficientes extintores manuales, todos
ellos con la carga vigente. Dichos extintores estn sealizados con placas de tal forma que se
permite una fcil localizacin de los mismos, cumpliendo con lo dispuesto en el Artculo 20.1 Real
Decreto 2177/1996 de 4 de Octubre sobre los extintores porttiles, expuesto en el apartado
anterior.
La proteccin por medio de extintores porttiles se ha resuelto por medio de unidades de 6 y 12
Kg de polvo ABCE, distribuidas por los distintos sectores, pasillos y cuartos de maquinaria.
La distribucin y localizacin de los extintores en todo el edificio es la siguiente:
Planta Semistano
4,23M.).
(Nivel
- Ext. 6 Kg
Ext. lOKg
Ext. 12 Kg
Pasillo y Galera
Pasillo norte
Pasillo sur
Pasillo este
Sala
Sala
Sala
Reprografa
Sala
Sala De Maquinas
CPD
Garaje
40

PLANTA BAJA (Nivel + 0,02 m) Ext. 6 Kg
ALA ESTE
ALA OESTE
PLANTA PRIMERA (Nivel + Ext. 6 Kg

4,47 m)
ALA ESTE
ALA OESTE
PLANTA SEGUNDA (Nivel + Ext. 6 Kg

8,91 m)
ALA ESTE
ALA OESTE
Ext. 10 Kg
Ext. 12 Kg
Ext. 10 Kg
Ext. 12 Kg
Ext. lOKg
Ext. 12 Kg
PLANTA CUBIERTA (Nivel + Ext. 6 Kg

13,36 m)
Ext. 10 Kg
ALA ESTE
ALA OESTE
Ext. 12 Kg
El nmero total de extintores instalados se resume en el siguiente cuadro:

6Kg
10 Kg
12 Kg
18
ALA ESTE
ALA OESTE
ALA ESTE
ALA OEST
ALA ESTE
ALA OESTE
PLANTA SEMISOTANO
PLANTA BAJA
PLANTA PRIMERA
PLANTA SEGUNDA
PLANTA CUBIERTA
41

ALA ESTE
ALA OESTE
66 de 6 Kg
4 de 10 Kg
8 de 12 Kg
TOTAL
Tabla 2. Distribucin y localizacin de extintores en el edificio
g) Bocas de incendio equipadas (BIE)

El edificio presenta tambin bocas de incendio equipadas (BIE) dispuestas por todo el edificio. Los
sistemas de bocas de incendio equipadas estarn compuestos por una fuente de abastecimiento
de agua, una red de tuberas para la alimentacin de agua y las bocas de incendio equipadas
(BIE) necesarias.
Las bocas de incendio equipadas, debern, antes de su fabricacin o importacin, ser aprobadas
de acuerdo con lo dispuesto en el articulo 2 del Reglamento de instalaciones de proteccin contra
incendios, justificndose el cumplimiento de lo establecido en las normas UNE 23.402 y UNE
23.403.
Las BIE debern montarse sobre un soporte rgido de forma que la altura de su centro quede
como mximo a 1.50 m, sobre el nivel del suelo o a ms altura, si se trata de BIE de 25mm,
siempre que la boquilla y la vlvula de apertura manual, si existen, estn situadas a la altura
citada. Las BIE instaladas en las instalaciones del SAS cumplen con lo dispuesto en el Artculo
20.3 Real Decreto 2177/1996 de 4 de Octubre sobre la instalacin de bocas de incendios
equipadas. Dicho articulo se explica a continuacin:
Los edificios, los establecimientos y las zonas cuyos usos se indican a continuacin debern estar
protegidos por una instalacin de bocas de incendio equipadas.
a) Administrativo y Docente, cuya superficie total construida sea mayor que 2.000 m2.
b) Locales o zonas de riesgo alto, conforme el apartado 19.1 en los que el riesgo
dominante se deba a la presencia de materias combustibles slidas.
Las bocas de incendio equipadas deben ser del tipo normalizado 25 mm, excepto en los locales
citados en el apartado g) anterior, en los que sern del tipo normalizado 45 mm.
Una zona difana se considera protegida por esta instalacin cuando la longitud de manguera y el
alcance del agua proyectada, estimado en 5 m, permite alcanzar a todo punto de la misma. Si la
zona est compartimentada, bastar que la longitud de la manguera alcance todo origen de
evacuacin.
La separacin mxima entre cada BIE y su ms cercana ser de 50 m. La distancia desde
cualquier punto del local protegido hasta la BIE ms prxima no deber exceder de 25m. Se
deber mantener alrededor de cada BIE una zona libre de obstculos que permita el acceso a ella
y su maniobra sin dificultad.
El edificio cuenta con una red de bocas de incendio equipadas(BIE). Se trata de BIE
de 25 mm de dimetro ubicadas en despachos, pasillos y zonas comunes. Como toma
general de agua para la distribucin de la red de extinxin de incendios en el edificio
se ha utilizado la toma de 4 de dimetro prevista en el proyecto de ejecucin del
Edificio.
42

La distribucin de los equipos es la siguiente:
1. Planta Semistano: 4
2. Planta Baja:
6
3. Planta Primera:
6
4. Planta Segunda:
6
TOTAL:
22
En el Edificio donde se alberga el CTI del Servicio Andaluz de Salud existen salidas de
emergencia como tales y las puertas de salida del mismo se encuentran sealizadas
correctamente.
Todo el recorrido de evacuacin est sealizado con placas UNE 23 033 y UNE 23
034 y todas las rutas de evacuacin estn libres de obstculos, cumpliendo con lo dispuesto en el
Artculo 12 Real Decreto 2177/1996 de 4 de Octubre sobre sealizacin e iluminacin que a
continuacin se detalla:
1. Las salidas de recinto, planta o edificio contempladas en el articulo 7 estarn sealizadas,
excepto en edificios de uso Vivienda y, en otros usos, cuando se trate de salidas de recintos
cuya superficie no exceda de 50 m2, sean fcilmente visibles desde todo punto de dichos
recintos y los ocupantes estn familiarizados con el edificio.
2. Deben disponerse seales indicativas de direccin de los recorridos que deben seguir desde
todo origen de evacuacin hasta un punto desde el que sea directamente visible la salida o la
seal que la indica y, en particular, frente a toda salida de un recorrido con ocupacin mayor
que 100 personas que acceda lateralmente a un pasillo.
En los puntos de los recorridos de evacuacin que deban estar sealizados en los que existan
alternativas que puedan inducir a error, tambin se dispondrn las seales antes citadas, de
forma tal que quede claramente indicada la alternativa correcta.
En dichos recorridos, las puertas que no sean salida y que puedan inducir a error en la
evacuacin, debern sealizarse con la seal correspondiente definida en la norma UNE 23
033 dispuesta en lugar fcilmente visible y prximo a la puerta.
3. Las seales se dispondrn de forma coherente con la asignacin de ocupantes a cada salida
realizada conforme a las condiciones establecidas en el apartado 7.4.
Para indicar las salidas, de uso habitual o de emergencia, se utilizarn las seales definidas en la
norma UNE 23 034.
El edificio dispone de diversos tipos de alumbrado de emergencia a lo largo de todos los recorridos
y en locales de maquinaria. Se trata de aparatos con lmpara de incandescencia de 40 y 60W
instalados en los techos y apliques circulares con lmparas de incandescencia de 60W, en
paredes. As mismo, todas las salidas de emergencia disponen de alumbrado de sealizacin de
emergencia. Todos estos puntos de luz estn conectados al grupo electrgeno, de manera que en
caso de interrupcin de suministro elctrico, queda garantizado un nivel de iluminacin suficiente
para permitir una evacuacin segura y ordenada.
h) En todo el edificio, existen diversos medios de comunicacin y de

transmisin de alarmas.
1) Megafona: El recinto del Edificio cuenta con un sistema de megafona interior
comandado desde el punto de control situado en el CECO
43

2) Comunicaciones va radio: Los miembros de la brigada de seguridad, disponen de
un total de 2 transceptores porttiles (walkie-talkies), que permiten la comunicacin
entre ellos.
3) Telefona: El edificio cuenta con una red de telefona interior, as como lneas
exteriores que permiten la comunicacin inmediata con el CECO, as como Bomberos,
Polica, Ambulancia, etc...
4) Pulsadores de alarma: Existe una red de pulsadores de alarma distribuidos por el
Edificio, conectados a la central de alarmas.
5) Como medios humanos disponemos de cinco personas:
6) Centro de Control (CECO): Atendido por un Vigilante de Seguridad, 24 horas al da,
todos los das.
Equipo de Primera Intervencin: Atendido por personal de mantenimiento

durante el da ( no incluida la noche) todos los das y formado por un Oficial de 1
y de un Ayudante, ubicados en el edificio.
Equipo de Segunda Intervencin: Atendido por un Vigilante de Seguridad 24

horas al da, todos los das, ubicado en el edificio, ms el jefe de seguridad
durante el horario de oficinas en das lectivos.
En el siguiente plano se indican las medidas de proteccin y extincin existentes. La parte

marcada de amarillo es la correspondiente a la sala de servidores, a la sala de operadores de la
sala de servidores y a la sala de imprenta.
44
Figura 3. Medios de proteccin y extincin existentes. Planta Stano
45
Se recomienda la disponibilidad de: materiales ignfugos, compartimentacin de los locales,

almacn de papel separado de servidores, suelo tcnico registrable.
El material con el que esta construido el falso techo y el suelo es incombustible o resistente al
fuego. Los consumibles como cintas y cartuchos magnticos se almacenan en un almacn
separado y alejado de la sala de servidores.
Los locales dispondrn de medidas suficientes para el aseguramiento de la continuidad del fluido
elctrico.
Sistema SAI On line u Off line con una autonoma mnima de 30 minutos para la potencia
consumida.
Preferiblemente conectado a un grupo electrgeno.
Sistema de control y gestin POWER OFF/POWER ON para cada Sistema Operativo

(integrando los procesos de desconexin y reconexin de base de datos y usuarios, as como
log de la incidencia)
Se deben verificar una vez al mes su correcto funcionamiento.
En el diseo de la instalacin elctrica, hay que tener en cuenta lo dispuesto en el Reglamento

Electrotcnico para Baja Tensin, e instalar los dispositivos adecuados. La funcin de estos
dispositivos consiste en proteger a las personas que utilizan la instalacin elctrica y a los equipos
que estn conectados a ella.
La disponibilidad y calidad del suministro elctrico son factores muy importantes para garantizar la
seguridad de los sistemas de informacin, especialmente en el aspecto de la disponibilidad,
adems de los costes que implican las posibles averas y daos motivados por la falta de calidad
de ste suministro. Los problemas ms comunes en lneas de potencia incluyen las
sobretensiones, microcortes, subidas y bajadas de tensin, cadas de tensin, fallos de suministro
y variaciones de frecuencia.
En muchas instalaciones elctricas, de ordenadores y de comunicaciones, la perdida de suministro
elctrico puede ser econmica o fsicamente catastrfica. La nica solucin fiable frente a estas
perdidas, la constituyen las fuentes de alimentacin ininterrumpida o SAI y la utilizacin de
generadores autnomos de energa elctrica.
El CTI del SAS cuenta con una serie de dispositivos para proteger a las personas y equipos que
estn conectados a la instalacin elctrica. Dichos dispositivos son interruptores magnetotrmicos, que son dispositivos electromecnicos que se colocan en las instalaciones elctricas
con el fin de protegerlas frente a las intensidades excesivas producidas como consecuencia de
cortocircuitos o por el excesivo nmero de elementos de consumo conectados a ellas, e
interruptores diferenciales que son unos dispositivos electromecnicos que se colocan en las
instalaciones elctricas con el fin de protegerlas y proteger a las personas de las derivaciones
causadas por faltas de aislamiento entre los conductores activos y tierra o masa de los aparatos.
El edificio tambin dispone de fusibles y un transformador para tal efecto.
i) Sistema de Alimentacin Ininterrumpida(SAI)

Un sistema de alimentacin ininterrumpida es un dispositivo que nos ofrece la proteccin ms
completa posible, contra la falta de calidad del suministro elctrico, incluyendo la ausencia de este.
El modo de funcionamiento bsico de un SAI consiste en cargar un banco de bateras mientras la
alimentacin de C.A est disponible, de manera que al interrumpirse la alimentacin CA la
46

batera puede proporcionar alimentacin a los elementos del sistema de informacin durante un
tiempo limitado que va desde cinco minutos hasta una o dos horas dependiendo de las
caractersticas del SAI.
Los SAI deben incluir proteccin contra sobrevoltaje y elementos de seguridad, y si no disponen
de ellas, deben usarse en unin de otros elementos que si faciliten estas protecciones.
Existen dos tipos bsicos de SAI, funcionamiento en lnea y funcionamiento fuera de lnea. En
funcionamiento fuera de lnea, la posicin del conmutador de transferencia es tal que la
entrada de CA, procedente de la red de suministro elctrico, una vez filtrada, es la fuente de
potencia primaria, y se produce el cambio a batera/ inversor, como fuente de respaldo, solo en
caso de falta de suministro de fuente primaria(de CA).
En el modo de funcionamiento en lnea, el conmutador de transferencia selecciona el grupo
bateras/ inversor como fuente primaria de energa, y se conmuta a entrada de CA como fuente de
respaldo en caso de fallo de la fuente primaria( batera/ inversor). Esta diferencia en el modo de
funcionamiento es simple, pero importante para entender el correcto funcionamiento de un SAI.
El SAI del edificio donde se ubica el CTI del SAS proporciona alimentacin ininterrumpida durante
10 minutos. El tipo de funcionamiento es en lnea con un bypass interno. Las bateras que
componen el SAI se encuentran almacenadas en un lugar refrigerado ya que la temperatura de las
bateras afecta a su fiabilidad. La vida de las baterias se reduce en un 10% por cada 5 C de
incremento de temperatura
j) Grupos Electrgenos
El uso de generadores de energa elctrica autnomos, conocidos como grupos electrgenos, es
necesario para garantizar el suministro elctrico a nuestras instalaciones, en cualquier
circunstancia. El grupo electrgeno instalado en el edificio donde se ubica el CTI del SAS tiene
una potencia de 500 kw. El tamao del grupo es bastante grande. El tipo de combustible que
utiliza este grupo es diesel. El grupo est fijo y la capacidad del tanque de combustible es de 1000
litros, lo que le da una autonoma de entre 7 y 10 horas, aunque esta autonoma puede ser
ilimitada ya que se puede recargar el tanque de combustible y el grupo seguir funcionando. El
sistema de refrigeracin que presenta el grupo es por medio de agua.
k) Los locales dispondrn de medidas suficientes para el aseguramiento de

la temperatura y humedad relativa del entorno.
Elementos bsicos:
Control de temperatura, mxima y mnima.
Alarma de temperatura excesiva (conectada a la central de alarmas del centro).
Equipos adecuados a las necesidades de refrigeracin.
Temperatura de trabajo de 20 y Humedad relativa del 40% al 60%.
Los equipos de refrigeracin dispondrn de "Control de Condensacin" para el correcto

funcionamiento en poca invernal.
Existe un sistema de climatizacin adecuado. Cuando falla el aire acondicionado existe un sistema
de deteccin de temperatura. Existe corriente de electricidad para los dos sistemas de aire
acondicionado.
47
Tambin existe un sistema de climatizacin de emergencia basado en una serie de splits. Todas
las maquinas de la sala de servidores disponen de sensores que avisan cuando la temperatura
aumenta.
La empresa que mantiene el sistema de climatizacin del CTI del SAS lleva un mantenimiento
adecuado del sistema de climatizacin, con los cambios de filtros y limpieza de conductos
correspondientes.
La temperatura a la que se encuentra la sala es entre 19-21C con margen de fluctuacin.
Las maquinas te avisan cuando existe un aumento excesivo de la temperatura.
Existe una humedad relativa del 50%.
l) Control de riesgos externos: goteras, vas de agua, inundaciones,

colapsos estructurales.
Se debe evitar el paso de tuberas de agua, gases, etc., sobre locales donde se ubiquen los
ordenadores, equipos de comunicaciones y soportes. Se deben controlar las vlvulas de corte o
control, situarse los equipos a distancia prudencial de las conducciones de agua corriente o de
calefaccin, canalizaciones, bajantes, etc.
No deben rodear a los locales por arriba, por abajo, o a los lados: laboratorios con productos
qumicos, almacenes de materiales explosivos o inflamables, calderas o depsitos de gases
comprimidos, tuberas de fluidos, desages.
Debido a los peligros de las inundaciones no es aconsejable la ubicacin en stanos, se
recomienda ubicarse entre la segunda y sexta planta.
El techo de la sala donde se encuentran los equipos informticos es impermeable y esta
compuesto de goma ignfuga. Los operadores del CTI conocen exactamente la ubicacin de las
tuberas del agua del aire acondicionado. No existen en el techo tuberas de agua. Las tuberas del
agua del aire acondicionado presentan llaves de paso para poder cerrarlas en caso de rotura o
inundacin. No existen detectores de fugas de agua y de humedad en el suelo. Solo existen
detectores de humos.
f)
Se debe disponer de medidas de prevencin de riesgos fsicos a travs de una poltica de

seguridad (Documento de Seguridad de la Informacin Corporativa del S.A.S.), planes de
contingencia, planes de autoproteccin (O.M. de 29/11/84, NBE-CPI 96 RD 2177/96),
aplicacin de normativas, etc.
Tanto los equipos informticos y auxiliares como los sistemas de deteccin deben ser revisados y
probados regularmente.
48
2. Procedimiento de Declaracin de Ficheros de Carcter

Personal.
OBJETIVO
Cumplir con la legislacin vigente sobre la declaracin de ficheros de carcter personal y llevar un
control de los mismos.
DESCRIPCIN
1. Antes del uso de cualquier aplicacin o fichero con datos de carcter personal el responsable
de la actividad que requiera o genere dicho fichero deber comunicarlo al Responsable de
Seguridad facilitndole toda la informacin que ste requiera sobre el contenido y finalidad del
fichero.
2. El responsable de Seguridad analizar la viabilidad de crear un nuevo fichero o solicitar las
modificaciones a ficheros ya declarados.
3. Para la creacin del fichero se solicitar:
Disposicin de creacin del fichero a la Consejera de Salud
Declaracin a la Agencia de Proteccin de Datos
a. Disposicin de creacin de los Ficheros

1. El Responsable del Fichero solicitar a la Consejera de Salud la publicacin de disposicin de
creacin del fichero en el Boletn Oficial de la Junta de Andaluca (BOJA) de la siguiente
forma:
El artculo 20 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de
Datos de Carcter Personal, establece que la creacin, modificacin o supresin de
los ficheros de las Administraciones Pblicas slo podrn hacerse por medio de
disposicin general publicada, para el mbito de Andaluca, en el Boletn Oficial de la
Junta (BOJA).
Con tal motivo se solicita que los ficheros relacionados en los anexos sean ordenados
publicar por esa Consejera en el BOJA, al objeto de que posteriormente por el S.A.S.
se proceda a su notificacin ante la Agencia de Proteccin de Datos.
Los apartados que se recogen de cada fichero son los relacionados en el artculo 20.2
de la citada Ley Orgnica.
ANEXO 4
a) Finalidad del fichero:
b) Usos previstos:
4
Se toman como referencias los apartados que el artculo 20.2 de la LOPD relaciona y que todo
fichero debe contener.
49
c) Personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que
estn obligados a suministrarlos:
d) Procedimiento de recogida de los datos de carcter personal:
e) Estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal
incluidos en el mismo:
f) Cesiones de datos de carcter personal:
g) rganos de las Administraciones responsables del fichero:
h) Servicios o Unidades ante los que pueden ejercerse los derechos de acceso, rectificacin,
cancelacin y oposicin:
i) Nivel de Seguridad:
b. Notificacin a la Agencia de Proteccin de Datos

1. El Responsable de Seguridad notificar a la Agencia de Proteccin de Datos el fichero, segn
el procedimiento establecido por sta.
c. Relacin de Ficheros Declarados

1. El Responsable de Seguridad mantendr siempre actualizado el Anexo B de este documento
donde se relacionan los ficheros que contengan datos de carcter personal, con indicacin de
las referencias: escrito de remisin a la Consejera de Salud, publicacin en BOJA, remisin a
la Agencia de Proteccin de datos, etc.
50
3. Procedimiento para el Ejercicio de los Derechos de Oposicin,

Acceso, Rectificacin o Cancelacin de Datos de Carcter
Personal.
OBJETIVO
Indicar cules son los derechos que los interesados o afectados titulares de los datos tienen, as
como establecer un mecanismo para que estos derechos puedan ser ejercitados ante el
Responsable del Fichero.
La LOPD reconoce los derechos que los ciudadanos pueden ejercitar, acceso, rectificacin,
cancelacin y oposicin, respecto de los ficheros automatizados que incluyan datos personales.
Esta obligacin afecta tanto a los datos contenidos en ficheros automatizados, como a los
incluidos en soporte papel, en virtud de la Disposicin Adicional Primera.
DESCRIPCIN
a. Notificacin al Afectado de sus Derechos

1. Previamente a la solicitud de datos de carcter personal a los interesados, se les debe
informar de modo expreso, preciso e inequvoco:
De la posibilidad de ejercitar los derechos de acceso, rectificacin, cancelacin y
oposicin. (Artculo 5.1.d LOPD).
De la identidad y direccin del Usuario Responsable de la Aplicacin/Fichero o, en su
caso, de su representante. (Artculo 5.1.e LOPD).
i. Formularios Web y Escritos

1. En cumplimiento del punto anterior, en todas las recogidas de datos de carcter personal que
se realicen, se deber introducir una clusula con el siguiente contenido:
En cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal y dems
normativa aplicable, el Servicio Andaluz de Salud le informa que sus
datos personales obtenidos mediante la cumplimentacin de este
documento/formulario/impreso, van a ser incorporados para su
tratamiento en un fichero automatizado. As mismo se le informa que la
recogida y tratamiento de dichos datos tienen como finalidad
la....................
Si lo desea, puede ejercitar los derechos de acceso, rectificacin,
cancelacin y oposicin, previstos por la ley, dirigiendo su escrito a la
siguiente direccin:...............
Incluyendo la finalidad que se le darn a los datos recogidos, y que habrn de coincidir con lo
declarado previamente a la Agencia de Proteccin de Datos. (Artculo 5.2 LOPD).
51

ii. Asistencia Sanitaria
1. Debido a la gravedad de la situacin en una demanda de urgencias, no se notificar en el
mismo momento, al afectado, la circunstancia de que se estn registrando los datos en una
base de datos.
2. Para la notificacin se incluir el siguiente escrito en la "Carta de Deberes y Derechos de los
Pacientes":
normativa aplicable, el Servicio Andaluz de Salud le informa que la
informacin obtenida en la asistencia sanitaria a su persona ha sido
incorporada para su tratamiento en un fichero automatizado. As mismo
se le informa que la recogida y tratamiento de dichos datos tienen como
finalidad la asistencia sanitaria del paciente.
siguiente direccin:....
3. Adems se incluir en todo panfleto de informacin sobre la asistencia sanitaria que ofrece el
S.A.S., con el siguiente prrafo:
normativa aplicable, el Servicio Andaluz de Salud le informa que la
informacin obtenida en la asistencia sanitaria a su persona ha sido
incorporada para su tratamiento en un fichero automatizado. As mismo
finalidad la asistencia sanitaria del paciente.
siguiente direccin:....
iii. Notificacin para el Tratamiento de Datos Personales del Profesional

S.A.S.
1. Para la notificacin del tratamiento automatizado de los datos del profesional S.A.S. se incluir
en los documentos relacionados el siguiente escrito:
normativa aplicable, el Servicio Andaluz de Salud (S.A.S.) le informa que
sus datos personales facilitados por Vd. al propio S.A.S., han sido
incorporados para su tratamiento en un fichero automatizado. As mismo
finalidad la gestin interna del personal del S.A.S.
siguiente direccin:........
52
b. Forma de Ejercer los Afectados estos Derechos

1. Para garantizar el ejercicio de los derechos de acceso, rectificacin, cancelacin y oposicin,
el S.A.S. tendr en todos los centros a disposicin de los afectados formularios de peticin,
por parte de los afectados del S.A.S., para el ejercicio de dichos derechos.
2. Los derechos que tienen los afectados respecto de sus datos personales son de carcter
personal, por lo que deben ser ejercitados por el propio afectado frente al Responsable del
Fichero, para ello el afectado debe acreditar su identidad frente al Responsable. Esto sin
perjuicio de la actuacin del representante legal del afectado cuando proceda (menores,
incapacidad...)
3. Los usuarios pueden hacer uso de estos derechos, bien de presente o mediante correo,
recepcionndose en ambos casos en los Registros de Entrada/Salida correspondientes.
4. En los casos de peticin por medio de representante, se acompaar fotocopia de su DNI, as
como el documento acreditativo de tal representacin.
5. En caso de recibir una solicitud para ejercer sus derechos, el responsable del Registro de
Entrada/Salida har llegar una copia del impreso al Responsable de Seguridad, el cual a su
vez lo reencaminar al Usuario Responsable de la Aplicacin/Fichero correspondiente (Centro,
rea o Servicio que tiene a su cargo la manipulacin del fichero en cuestin).
6. El Responsable de Seguridad controlar si se estn gestionando adecuadamente las
reclamaciones, los tiempos y si pueden ser causa de algn tipo de sancin por parte de la
Agencia de Proteccin de Datos.
7. El Usuario Responsable de la Aplicacin/Fichero estudiar la reclamacin y elaborar un
escrito de comunicacin al reclamante, en sentido aprobatorio o denegatorio, indicando en
este ltimo caso las causas, hacindole ver que pueden ejercitar el derecho de reclamacin
ante la Agencia de Proteccin de Datos. El escrito deber ir firmado por el Responsable del
Fichero (Gerente). Se deber tener muy en cuenta los plazos fijados por la normativa a aplicar.
c. Derecho de Acceso
Este derecho concede al afectado, por el tratamiento de sus datos, la posibilidad de solicitar y
obtener informacin gratuita de sus datos de carcter personal, el origen y las comunicaciones
realizadas o que se prevean realizar de los mismos.
1. Para ejercer el derecho de acceso a los datos personales del afectado se rellenar el
Formulario para el Ejercicio del Derecho de Acceso.
2. El Usuario Responsable de la Aplicacin/Fichero del fichero debe resolver sobre la solicitud de
acceso en el plazo mximo de un mes, a contar desde la recepcin de la misma, resolucin
que debe producirse aun cuando el S.A.S. no disponga de datos personales del solicitante, en
cuyo caso har constar esta circunstancia en la contestacin.
3. En caso de contestacin estimatoria el acceso debe hacerse efectivo en el plazo de los 10
das siguientes a la notificacin de la contestacin.
4. El solicitante puede elegir, de acuerdo con la Instruccin 1/1998 en su norma segunda, 2,
entre uno o varios de los siguientes sistemas de consulta del fichero, siempre que la
configuracin o implantacin material del fichero lo permita:
53
Visualizacin en pantalla.
Escrito, copia o fotocopia remitida por correo.
Telecopia.
Cualquier otro procedimiento que sea adecuado a la configuracin o implantacin

material del fichero, ofrecido por el responsable del mismo.
5. El derecho de acceso no podr llevarse a cabo en intervalos inferiores a 12 meses, salvo

causa justificada.
6. La solicitud de derecho de acceso slo podr ser denegada por alguna de estas causas:
Cuando la solicitud sea llevada a cabo por persona distinta del afectado.
En general, podr denegarse cuando concurran razones de inters general o

intereses de terceros ms dignos de proteccin (siendo necesario en estos casos
que se efecte mediante resolucin motivada).
d. Derecho de Rectificacin
Los datos personales cuyo tratamiento no se ajuste a lo dispuesto en la Ley, los que resulten
inexactos o incompletos, pueden ser rectificados o cancelados. (Artculo 16.2 LOPD).
1. Para ejercer el derecho de rectificacin de los datos personales del afectado se rellenar el
Formulario para el Ejercicio del Derecho de Rectificacin.
2. Para revelar el carcter inexacto de los datos que figuran en los ficheros puede ser necesaria
la aportacin de copias de documentos que lo acrediten al Responsable del Fichero.
3. Si el S.A.S. ha realizado previamente a la solicitud, cesin de esos datos, debe notificar la
rectificacin a quien se hayan comunicado en el caso de que se mantenga el tratamiento por
este ltimo, que deber proceder tambin a la rectificacin.
4. Tambin deber notificar la rectificacin al Encargado del Tratamiento en caso de que exista,
para que ste proceda a la correspondiente rectificacin.
5. Estos derechos han de hacerse efectivos por el Usuario Responsable de la Aplicacin/Fichero
del fichero dentro de los diez das siguientes al de la recepcin de la solicitud.
6. La solicitud de derecho de rectificacin slo podr ser denegada por alguna de estas causas:

e. Derecho de Cancelacin
Los datos personales cuyo tratamiento no se ajuste a lo dispuesto en la Ley, los que resulten
inexactos o incompletos, pueden ser rectificados o cancelados. (Artculo 16.2 LOPD).
54
1. Para ejercer el derecho de cancelacin de los datos personales del afectado se rellenar el
Formulario para el Ejercicio del Derecho de Cancelacin.
2. La cancelacin da lugar al borrado fsico de los datos, salvo que esto resulte imposible por
razones tcnicas o a causa del soporte utilizado, en cuyo caso se proceder al bloqueo de los
mismos, a efectos de impedir su posterior proceso o utilizacin.
La cancelacin tambin da lugar al bloqueo de los datos conservndose nicamente a
disposicin de las Administraciones Pblicas, Jueces y Tribunales para la atencin de las
posibles responsabilidades nacidas del tratamiento durante el plazo de prescripcin de stas.
Cumplido este plazo debe procederse a su supresin.
Esta obligacin es debida a que los datos deben ser conservados durante los plazos previstos
en las disposiciones que sean aplicables, o en las relaciones contractuales entre la persona y
la entidad Usuario Responsable de la Aplicacin/Fichero.
3. Si el S.A.S. ha realizado previamente a la solicitud, cesin de esos datos, debe notificar la
cancelacin a quien se hayan comunicado en el caso de que se mantenga el tratamiento por
este ltimo, que deber proceder tambin a la cancelacin.
4. Tambin deber notificar la cancelacin al Encargado del Tratamiento en caso de que exista,
para que ste proceda a la correspondiente cancelacin.
5. Estos derechos han de hacerse efectivos por el Usuario Responsable de la Aplicacin/Fichero
del fichero dentro de los diez das siguientes al de la recepcin de la solicitud.
6. Los nicos casos en los que el Responsable del Fichero podr denegar la cancelacin son:
Cuando exista un deber de conservacin de los datos para el plazo que se

establezca para cada caso por la legislacin aplicable y, en todo caso, cuando su
cancelacin pudiese causar perjuicio al afectado o a terceros.

f. Derecho de Oposicin
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los
datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a
su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin
personal.
1. En tal supuesto el Usuario Responsable de la Aplicacin/Fichero del fichero excluir del
tratamiento los datos relativos al afectado.
2. En este supuesto se seguirn los mismos trmites formales que en el ejercicio de los derechos
de rectificacin o cancelacin.
55
g. Comunicacin al Afectado
1. Una vez recabada la informacin solicitada, se enviar la respuesta al afectado.
2. El S.A.S., mediante el Usuario Responsable de la Aplicacin/Fichero, debe contestar la
solicitud que se le dirija, con independencia de que figuren o no datos personales del
solicitante en su fichero, debiendo utilizar un medio que acredite el envo y la recepcin.
(Instruccin 1/1998 de 19 de enero, de la APD sobre el ejercicio de los derechos de acceso,
rectificacin y cancelacin).
3. La comunicacin al afectado deber realizarse de la manera ms segura posible debido al
contenido de la informacin y a las exigencias del Reglamento 994/99 sobre Medidas de
Seguridad de datos de carcter personal.
4. Se utilizar cualquier medio que permita acreditar el envo y la recepcin, tanto por parte del
S.A.S. como del interesado.
5. El Usuario Responsable de la Aplicacin/Fichero puede obligar al solicitante a la subsanacin
de los defectos que pueda tener su solicitud cuando sta no rena los requisitos que exige la
norma.
6. En caso de denegacin de las solicitudes, se debern argumentar los motivos.
56
Formulario para el Ejercicio del Derecho de Acceso5 de Datos de

Carcter Personal de Ficheros del SAS
DATOS DEL FICHERO Y RESPONSABLE.
Nombre
del
Fichero
o
Datos:
...................................................................................................................
Nombre/razn
social:..............................................................................................................................
Direccin de la Oficina/Servicio ante el que se ejercita el derecho de acceso:
C/Plaza ....................................................................... n ........... C. Postal .................. Localidad
..................................... Provincia ................................. Comunidad Autnoma ..............................
C.I.F./D.N.I. .................................
DATOS DEL AFECTADO O REPRESENTANTE LEGAL6.

D./D. ..........................................................................................................., mayor de
edad, con domicilio en la C/Plaza ......................................................................................... n........,
Localidad
........................................... Provincia .......................................... C.P. ............... Comunidad
Autnoma
............................................ con D.N.I.........................., del que acompaa copia, por medio del
presente escrito ejerce el derecho de acceso, de conformidad con lo previsto en el artculo 15 de la
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, en los
artculos 12 y 13 del Real Decreto 1332/94, de 20 de junio, por el que se desarrollan determinados
aspectos de la Ley Orgnica 5/1992, de 29 de octubre, vigentes al amparo de la disposicin
transitoria tercera de la citada Ley Orgnica 15/1999, y en la Norma Segunda de la Instruccin
1/1998, de 19 de enero, relativa al ejercicio de los derechos de acceso, rectificacin y cancelacin,
y en consecuencia,
SOLICITA,
Que se le facilite gratuitamente el derecho de acceso a sus datos de carcter personal contenidos
en el fichero indicado en el plazo mximo de un mes a contar desde la recepcin de esta solicitud,
y que se remita por correo la informacin a la direccin arriba indicada en el plazo de diez das a
contar desde la resolucin estimatoria de la solicitud de acceso.
Asimismo, se solicita que dicha informacin comprenda, de modo legible e inteligible, los datos de
base que sobre mi persona estn incluidos en sus ficheros, los resultantes de cualquier
elaboracin, proceso o tratamiento, as como el origen de los mismos, los cesionarios y la
especificacin de los concretos usos y finalidades para los que se almacenaron.
En ............................a.........de...........................de 20......
5
Se trata de la peticin de informacin sobre los datos personales incluidos en un fichero. Este derecho se ejerce ante el
responsable del fichero (Organismo Pblico o entidad privada) que es quien dispone de los datos.
6
Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
aportarse DNI y documento acreditativo autntico de la representacin del tercero.
57
Firmado:
58
Formulario para el Ejercicio del Derecho de Rectificacin7 de

Datos de Carcter Personal de Ficheros del SAS
DATOS DEL RESPONSABLE DEL FICHERO.
Nombre/razn
social:..............................................................................................................................
Direccin de la Oficina/Servicio ante el que se ejercita el derecho de rectificacin:
C.I.F./D.N.I. .................................

D./D. .........................................................................................................., mayor de edad, con
domicilio en la C/Plaza ......................................................................................... n........, Localidad
Autnoma ............................................ con D.N.I.........................., del que acompaa copia, por
medio del presente escrito ejerce el derecho de rectificacin sobre los datos anexos, aportando los
correspondientes justificantes, de conformidad con lo previsto en el artculo 16 de la Ley Orgnica
15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal, en el artculo 15 del
Real Decreto 1332/94, de 20 de junio, por el que se desarrollan determinados aspectos de la Ley
Orgnica 5/1992, de 29 de octubre, vigentes al amparo de la disposicin transitoria tercera de la
citada Ley Orgnica 15/1999, y en la Norma Tercera de la Instruccin 1/1998, de 19 de enero,
relativa al ejercicio de los derechos de acceso, rectificacin y cancelacin, y en consecuencia,
SOLICITA,
Que se proceda a acordar la rectificacin de los datos personales sobre los cuales se ejercita el
derecho, que se realice en el plazo de diez das a contar desde la recogida de esta solicitud, y que
se me notifique de forma escrita el resultado de la rectificacin practicada.
Que en caso de que se acuerde, dentro del plazo de diez das, que no procede acceder a practicar
total o parcialmente las rectificaciones propuestas, se me comunique motivadamente a fin de, en
su caso, solicitar la tutela de la Agencia de Proteccin de Datos, al amparo del artculo 18 de la
citada Ley Orgnica 15/1999.
Que si los datos rectificados hubieran sido comunicados previamente se notifique al responsable
del fichero la rectificacin practicada, con el fin de que tambin ste proceda a hacer las
correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el
artculo 4 de la mencionada Ley Orgnica 15/1999.
En ............................a.........de...........................de 20......
Consiste en la peticin dirigida al responsable del fichero con el fin de que los datos personales respondan con veracidad
a la situacin actual del afectado.
8
aportarse DNI y documento acreditativo autntico de la representacin del tercero
59

Firmado:
60
Formulario para el Ejercicio del Derecho de Rectificacin de

Datos de Carcter Personal de Ficheros del SAS
DATOS DEL FICHERO QUE DEBEN RECTIFICARSE
Dato incorrecto
Dato correcto
Documento
acreditativo
En................................ a............ de................................ de 20.....
61
Formulario para el Ejercicio de Derecho de Cancelacin9 de Datos

de Carcter Personal de Ficheros del SAS
DATOS DEL FICHERO Y RESPONSABLE.
Nombre
del
Fichero
o
Datos:
...................................................................................................................
Nombre/razn
social:..............................................................................................................................
Direccin de la Oficina/Servicio ante el que se ejercita el derecho de cancelacin:
C.I.F./D.N.I. .................................

D./D. .........................................................................................................., mayor de edad, con
domicilio en la C/Plaza ......................................................................................... n........, Localidad
Autnoma ............................................ con D.N.I.........................., del que acompaa copia, por
medio del presente escrito ejerce el derecho de cancelacin, de conformidad con lo previsto en el
artculo 16 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter
Personal, en los artculos 15 y 16 del Real Decreto 1332/94, de 20 de junio, por el que se
desarrollan determinados aspectos de la Ley Orgnica 5/1992, de 29 de octubre, vigentes al
amparo de la disposicin transitoria tercera de la citada Ley Orgnica 15/1999, y en la Norma
Tercera de la Instruccin 1/1998, de 19 de enero, relativa al ejercicio de los derechos de acceso,
rectificacin y cancelacin, y en consecuencia,
SOLICITA,
Que se proceda a acordar la cancelacin de los datos personales sobre los cuales se ejercita el
derecho, que se realice en el plazo de diez das a contar desde la recogida de esta solicitud, y que
se
me notifique de forma escrita el resultado de la cancelacin practicada. Que en caso de que se
acuerde dentro del plazo de diez das que no procede acceder a practicar total o parcialmente las
cancelaciones propuestas, se me comunique motivadamente a fin de, en su caso, solicitar la tutela
de la Agencia de Proteccin de Datos, al amparo del artculo 18 de la citada Ley Orgnica
15/1999.
Que si los datos cancelados hubieran sido comunicados previamente se notifique al responsable
del fichero la cancelacin practicada con el fin de que tambin ste proceda a hacer las
correcciones oportunas para que se respete el deber de calidad de los datos a que se refiere el
artculo 4 de la mencionada Ley Orgnica 15/1999.
En ............................a.........de...........................de 20......
9
Consiste en la peticin de cancelacin de un dato que resulte innecesario o no pertinente para la finalidad con la que fue
recabado. El dato ser bloqueado, es decir, ser identificado y reservado con el fin de impedir su tratamiento
10
aportarse DNI y documento acreditativo autntico de la representacin del tercero
62
Firmado:
63
4. Procedimiento de Relaciones Contractuales con Empresas

Externas con Acceso a Informacin Corporativa.
OBJETIVO
Describir las clusulas que deben inscribirse en todos los contratos que realice el S.A.S. con otras
empresas que necesiten acceso a informacin corporativa para ejercer el servicio contratado.
DESCRIPCIN
Se determinan tres clases de empresas que tienen relacin contractual con el S.A.S.:
Empresas que realizan tareas de Encargados de Tratamiento.
Empresas que prestan servicios sanitarios o de otra ndole y a las que se les proporcionan
determinados datos para que puedan prestar el servicio.
Empresas que no tienen relacin con informacin corporativa (limpieza, recogida de

residuos, electricidad, fontanera, etc.).
a. Encargados de Tratamiento
1. La realizacin de tratamiento por cuenta de terceros deber estar regulada en un contrato que
deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y
contenido, establecindose expresamente que el encargado del tratamiento nicamente
tratar los datos conforme a las instrucciones del Usuario Responsable de la
Aplicacin/Fichero, que no los aplicar o utilizar con un fin distinto al que figure en dicho
contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. (Artculo 12.2
LO 15/1999).
2. En el contrato se estipular, asimismo, las medidas de seguridad que el Encargado del
Tratamiento est obligado a implementar. (Artculo 12.2 LO 15/1999).
3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, ser considerado tambin
Usuario Responsable de la Aplicacin/Fichero, respondiendo de las infracciones en que
hubiera incurrido personalmente. (Artculo 12.4 LO 15/1999).
i. Clusulas a Incorporar en el Contrato

1. El contratista estar obligado a conocer, respetar y asegurar que se cumplan en el desarrollo
de su trabajo, todas las normas, pautas, procedimientos, recomendaciones, etc., que se fijan
en el Manual de Seguridad de la Informacin Corporativa del S.A.S., que tras la firma del
contrato le ser proporcionado por el Responsable de Seguridad del S.A.S. (se le
proporcionarn los aspectos del Manual que le hagan falta para el desarrollo de su labor).
2. El contratista estar obligado a adoptar las medidas de ndole tcnica y organizativas
necesarias que garanticen la seguridad de los datos facilitados por el S.A.S. y eviten su
64

alteracin, prdida, tratamiento o acceso no autorizado, todo ello en consonancia con el nivel
de seguridad exigible de acuerdo con la informacin que trate. Para el caso de una
interrupcin de los servicios informticos, el contratista dispondr de otras instalaciones de
caractersticas similares en donde podr realizar, durante el tiempo de avera, el servicio
mnimo que se considera imprescindible para el S.A.S
3. El contratista estar obligado a tratar los datos siguiendo las instrucciones que le fije el
Usuario Responsable de la Aplicacin/Fichero, para el fichero o los ficheros, con datos de
carcter personal u otro tipo de informacin del S.A.S., que tenga que tratar en el desarrollo
de sus funciones.
4. El contratista se compromete a no aplicar, ni utilizar, los datos de carcter personal que se le
hayan proporcionado para el desarrollo de su labor, a un fin distinto al que figura en el
contrato.
5. El contratista y todo el personal que trabaje para l estarn sujetos al deber de
confidencialidad en el ejercicio de sus funciones, cuando trabajen para el S.A.S.,
configurndose este deber como la prohibicin de la revelacin de datos de las personas que
se conocen en virtud del ejercicio de la actividad que desempean, respondiendo, en
consecuencia, de los perjuicios que del incumplimiento puedan derivarse para el S.A.S.
6. El contratista no comunicar ningn tipo de datos, propiedad del S.A.S., ni siquiera para su
conservacin, a otras personas o entidades.
7. Antes de comenzar a ofrecer el Servicio de Informacin contratado, el contratista deber

presentar a las Gerencias/Direcciones del S.A.S. los procedimientos que va a emplear, con
objeto de comprobar que se cumplen los requisitos de seguridad exigidos en la legislacin
vigente en materia de proteccin de datos de carcter personal.
8. Una vez cumplida la prestacin contractual, toda la informacin corporativa del S.A.S. deber
ser destruida o devuelta al Usuario Responsable de la Aplicacin/Fichero, al igual que
cualquier soporte o documentos en que conste algn dato de carcter personal u otra
informacin objeto del tratamiento. (Artculo 12.3 LO 15/1999).
9. El S.A.S ser el propietario de los datos que se traten en los diferentes servicios contratados.
10. Toda informacin, de carcter confidencial que el S.A.S conozca, en virtud del contrato,
acerca de las tcnicas y metodologas empleadas por el contratista en la ejecucin de estos
servicios informticos no podr comunicarla a terceros ni emplearla en uso propio,
respondiendo, en consecuencia, de los prejuicios que del incumplimiento de esta clusula se
pudieran derivar para el contratista.
11. El contratista no podr trabajar para la competencia ni para quienes realicen actividades
afines.
12. En el caso de los datos de carcter personal sern, de acuerdo con lo dispuesto en la Ley
Orgnica 15/1999, de 13 de diciembre (LOPD), responsables de los datos tanto el
responsable del fichero como el encargado del tratamiento.
13. El contratista informar al S.A.S, antes de realizarlas, de todas las modificaciones que se
vayan a hacer en la estructura de los ficheros que contengan datos de carcter personal, as
como de la intencin de suprimir o crear ficheros que contengan dicha clase de datos a fin de
que el S.A.S, como titular de dichos ficheros, pueda notificar con la debida antelacin a la
Agencia de Proteccin de Datos dichas variaciones.
14. Si a causa del incumplimiento por parte del contratista de lo regulado por la Ley, el S.A.S
fuese sancionado por la Agencia de Proteccin de Datos, dicha sancin ser inmediatamente
65

repercutida al contratista, debiendo ser abonada por este. Asimismo, resarcir al S.A.S por los
daos y perjuicios que esta sancin, aparte de la multa, le hubiese ocasionado. En el caso de
que no por haber sido debidamente informado fuese sancionado el S.A.S por la Agencia de
Proteccin de Datos, el contratista pagar la sancin que corresponda y asimismo resarcir al
S.A.S por los daos y perjuicios que dicha omisin pudiera causarle.
15. El contratista deber incluir en los contratos que tenga establecidos con sus trabajadores
una clusula de confidencialidad por la que estos se comprometan a no revelar ni emplear en
uso propio o de terceros la informacin que conozcan en funcin de su cometido tanto durante
el tiempo que dure su contrato, ya sea laboral o de cualquier otro tipo de los admitidos en
derecho, como posteriormente al finalizar dicha relacin, especialmente en los casos
contemplados en el artculo 10 de la Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin
de Datos de Carcter Personal (LOPD).
16. El S.A.S podr, si lo considera necesario, ordenar, una vez al ao, la realizacin de una
Auditoria de los Sistemas de Seguridad del Centro Informtico del contratista y ste deber
posibilitar el acceso de los auditores informticos y facilitarles las pruebas que soliciten para
cubrir el objetivo de la auditoria. Asimismo los auditores informticos podrn verificar si se
cumplen los estndares de calidad.
17. El contratista se compromete a implementar las aplicaciones de forma que se puedan realizar
en ellas Auditorias Informticas, especialmente en aquellos ficheros que contengan datos de
carcter personal y que pueden, en su da, ser auditados por los inspectores de la Agencia de
Proteccin de Datos.
b. Empresas, Prestatarias de Servicios Sanitarios o de otra

ndole, a las que se les proporcionan determinados datos
para que puedan prestar el servicio.
Este tipo de empresas, en principio, no representan al Encargado del Tratamiento pero necesitan
conocer cierta informacin para desempear el servicio que prestan. Ejemplo: en transporte
programado, las ambulancias a las que hay que facilitar el nombre y direccin del paciente.
en el Manual de Seguridad de la Informacin Corporativa del S.A.S., que tras la firma del
contrato, le ser proporcionado por el Responsable de Seguridad correspondiente del S.A.S.
(se le proporcionarn los aspectos del Manual que le hagan falta para el desarrollo de su
labor).

se conocen en virtud del ejercicio de la actividad que desempean, respondiendo, en
consecuencia, de los perjuicios que del incumplimiento puedan derivarse para el S.A.S.
3. El contratista se compromete a no aplicar, ni utilizar, los datos personales que se le hayan
proporcionado para el desarrollo de su labor, para un fin distinto al que figura en el contrato.
66

5. Si las tareas sanitarias que realiza el contratista, tanto para el S.A.S. como para otras
instituciones sanitarias, las gestiona en una base de datos propia, presentar previamente la
creacin y notificacin del fichero correspondiente ante la Agencia de Proteccin de Datos al
S.A.S., as como las medidas de seguridad que amparan la gestin del citado fichero.
6. El contratista en el ejercicio de la clusula anterior, tendr la caracterstica de Responsable
del Fichero a los efectos de la Ley Orgnica de Proteccin de Datos y al Reglamento de
Medidas de Seguridad.
7. El contratista estar obligado a adoptar las medidas de ndole tcnica y organizativas
necesarias que garanticen la seguridad de los datos de carcter personal, proporcionados por
el S.A.S., y eviten su alteracin, prdida, tratamiento o acceso no autorizado, todo ello en
consonancia con el nivel de seguridad exigible de acuerdo con los datos que trate.
servicios no podr comunicarla a terceros ni emplearla en uso propio, respondiendo, en
consecuencia, de los prejuicios que del incumplimiento de esta clusula se pudieran derivar
para el contratista.
afines.
11. El contratista deber incluir en los contratos que tenga establecidos con sus trabajadores una
clusula de confidencialidad por la que estos se comprometan a no revelar ni emplear en uso
propio o de terceros la informacin que conozcan en funcin de su cometido tanto durante el
tiempo que dure su contrato, ya sea laboral o de cualquier otro tipo de los admitidos en
12. En el caso de los datos de carcter personal sern, de acuerdo con lo dispuesto en la Ley
Orgnica 15/1999, de 13 de diciembre (LOPD), responsables de los datos tanto el
responsable del fichero como el encargado del tratamiento.
13. El contratista informar al S.A.S, antes de realizarlas, de todas las modificaciones que se
vayan a hacer en la estructura de los ficheros que contengan datos de carcter personal, as
como de la intencin de suprimir o crear ficheros que contengan dicha clase de datos a fin de
que el S.A.S, como titular de dichos ficheros, pueda notificar con la debida antelacin a la
Agencia de Proteccin de Datos dichas variaciones.
14. Si a causa del incumplimiento por parte del contratista de lo regulado por la Ley, el S.A.S
fuese sancionado por la Agencia de Proteccin de Datos, dicha sancin ser inmediatamente
repercutida al contratista, debiendo ser abonada por este. Asimismo, resarcir al S.A.S por los
daos y perjuicios que esta sancin, aparte de la multa, le hubiese ocasionado. En el caso de
que no por haber sido debidamente informado fuese sancionado el S.A.S por la Agencia de
Proteccin de Datos, el contratista pagar la sancin que corresponda y asimismo resarcir al
S.A.S por los daos y perjuicios que dicha omisin pudiera causarle.
67
c. Otras Empresas que trabajen para el S.A.S.

Consideramos en este apartado a todas aquellas empresas que en principio no tratan informacin
corporativa, pero que por sus caractersticas, pueden llegar a tener acceso a ella, como es el caso
de empresas de limpieza, mantenimiento, etc.

en el Manual de Seguridad de la Informacin Corporativa, que tras la firma del contrato le ser
proporcionado por el Responsable de Seguridad correspondiente del S.A.S. (se le
proporcionarn los aspectos del Manual que le hagan falta para el desarrollo de su labor).
2. El contratista se compromete a no aplicar, ni utilizar, los datos personales que se le hayan
proporcionados para el desarrollo de su labor, para un fin distinto al que figura en el contrato.
se conocen en virtud del ejercicio de la actividad que desempean.
servicios no podr comunicarla a terceros ni emplearla en uso propio, respondiendo, en
consecuencia, de los prejuicios que del incumplimiento de esta clusula se pudieran derivar
para el contratista.

afines.
8. El contratista deber incluir en los contratos que tenga establecidos con sus trabajadores una
clusula de confidencialidad por la que estos se comprometan a no revelar ni emplear en uso
propio o de terceros la informacin que conozcan en funcin de su cometido tanto durante el
tiempo que dure su contrato, ya sea laboral o de cualquier otro tipo de los admitidos en
68
5. Registro de Incidencias de Seguridad de la Informacin

Corporativa
OBJETIVO
El presente procedimiento determina la forma de registro de incidencias que atenten contra la
seguridad de la informacin corporativa.
El presente procedimiento no detalla la resolucin de incidencias de seguridad debido a la
diversidad de causas tecnolgicas de los diferentes Sistemas de Informacin que soporta la
informacin corporativa. Explicndose esta operativa en el Procedimiento de Mantenimiento de
cada Sistema de Informacin.
DESCRIPCIN
El registro de incidencias cumple una funcin indispensable para la seguridad de la informacin
corporativa, ya que por un lado permite prever posibles riesgos para la seguridad y por otro
permite controlar en todo momento las incidencias que han afectado al tratamiento de los datos
personales. Este registro servir de base para realizar anlisis sobre cules son las incidencias
ms usuales y valorar la funcionalidad y adecuacin de los procedimientos establecidos como
respuesta ante las mismas.
La LOPD y el Reglamento de Medidas de Seguridad establecen la obligatoriedad del
establecimiento de un registro de incidencias.
a. Incidencias
1. Denominamos Incidencia cualquier anomala que afecte o pudiera afectar a la seguridad de
los datos.
2. Distinguimos dos tipos de incidencias:
Tcnicas:
Operativas: Aquellas incidencias debidas a causas ajenas al sistema de informacin que

soporta la informacin corporativa. Ejemplo: aparicin de documentos con
informacin de carcter personal en la basura. Difusin de informacin.
Aquellas debidas a causas tecnolgicas del sistema de informacin que

soporta la informacin corporativa. Ejemplo: fallo de aplicacin.
Autorizaciones indebidas a datos.
3. El Registro de Incidencias contendr, al menos, la siguiente informacin de cada incidencia:
Identificador de la incidencia (numrico incremental)
Descripcin detallada de la incidencia
Fecha y hora en la que se produce
Persona que lo notifica
Efectos causados por la misma
69
4. En el registro de incidencias deber consignarse; los procedimientos realizados para la

recuperacin de los datos, la persona que ejecuta el proceso, los datos restaurados, los datos
que ha sido necesario grabar manualmente en el proceso de recuperacin. (Artculo 21.1 RD
994/1999).
El CTI recoge en la actualidad de tres formas distintas las posibles incidencias que van surgiendo:
Registro de incidencias de CEGES: En el que se recogen todas las incidencias que
pasen por CEGES y que son normalmente las relacionadas con problemas de
usuarios, de comunicaciones, de funcionamiento de aplicaciones, etc. Su formato es
digital, a travs de una aplicacin web desarrollada a medida. Para ver los detalles ir al
Anexo H.
Registro de incidencias de administradores: En el que se recogen todas las incidencias
que surgen a nivel de administracin de servidores, firewalls, routers, BD,
principalmente las relacionadas con la realizacin de copias de seguridad y con las
acciones de recuperacin de informacin. Su formato es digital, a travs de una
aplicacin web estndar.
Registro de incidencias de operadores: En el que se recogen todas las incidencias que
surgen en el da a da de los operadores y relacionadas principalmente con el aspecto
fsico del CTI: cambio de equipos, cada de fusibles, parada de mquinas, incendios,
etc. Su formato es en papel impreso.
b. Responsable
1. Ser el Responsable de Seguridad quien habilite el Registro de Incidencias de Seguridad, y
que estar a disposicin de todos los usuarios y responsables.
c. Notificacin de Incidencias
1. Es obligacin de todo el personal del S.A.S. notificar cualquier incidencia, o
presuncin/sospecha de incidencia que se produzca y recopilar toda la informacin posible
para optimizar el procedimiento de deteccin del problema.
2. El conocimiento y la no notificacin de una incidencia por parte de un usuario ser
considerada como una falta contra la Seguridad de la Informacin Corporativa por parte de
ste.
3. Las incidencias de tipo tcnico se notificarn en el registro de Mantenimiento del Sistema de
Informacin, y su gestin se regir por el Procedimiento de Mantenimiento del Sistema de
Informacin.
4. Las incidencias de tipo operativo se notificarn al Responsable de Seguridad, quien dejar
constancia en el registro de incidencias de seguridad.
d. Resolucin de la Incidencia
1. El Responsable de Seguridad, conjuntamente con cualquier persona que tenga relacin con la
incidencia, o con la informacin a la que afecta, determinarn las acciones para eliminar, en la
medida de lo posible, el mal causado, y evitar una posible repeticin.
70
2. El Responsable de Seguridad notificar al afectado, en su caso, de las acciones emprendidas.
e. Auditora
1. El Responsable de Seguridad, analizar con periodicidad al menos trimestral las incidencias
registradas, para independientemente de las medidas particulares que se hayan adoptado en
el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias
en el futuro.
71
Impreso de notificacin de incidencias

Incidencia N:
|_______| ( Este nmero ser rellenado por el Responsable de seguridad)

Fecha de notificacin: /__/__/____/
Tipo de incidencia:
Descripcin detallada de la incidencia:
Fecha y hora en que se produjo la incidencia:

Persona(s) a quien(es) se comunica:
Efectos que puede producir: (En caso de no subsanacin o incluso independientemente de ella)
Recuperacin de Datos: (A rellenar slo si la incidencia es de este tipo)

Procedimiento realizado:
Datos restaurados:
Datos grabados manualmente:
Persona que ejecut el proceso:
Firma del Responsable Seguridad del fichero:

Fdo ____________________________
Persona que realiza la comunicacin:

Fdo.:___________________________
72
6. Procedimiento de Gestin de Soportes

OBJETIVO
En este procedimiento se describe qu pasos debe seguir (notificar entrada, salida, y la baja de
soportes, almacenamiento de soportes, etc.) todo el personal relacionado con los soportes que
contengan informacin corporativa confidencial o de carcter personal, bien como consecuencia
de operaciones intermedias propias de la aplicacin que los trata, o bien como consecuencia de
procesos peridicos de respaldo, anlisis o cualquier otra operacin espordica.
En este procedimiento se trata adems la transmisin de datos por red, ya sea por medio de
correo electrnico o mediante sistemas de transferencia de ficheros, ya que se est convirtiendo
en uno de los medios ms utilizados para el envo de datos, hasta el punto de que est
sustituyendo a los soportes fsicos. Dndose la circunstancia de que pueden ser ms vulnerables
que los soportes fsicos tradicionales.
Las copias de seguridad se rigen por el Procedimiento de Copias de Respaldo y Recuperacin.
DESCRIPCIN
Soportes informticos son todos aquellos medios de grabacin y recuperacin de datos que se
utilizan para realizar copias o pasos intermedios en los procesos de la aplicacin que gestiona la
Dado que la mayor parte de los soportes que hoy en da se utilizan, como disquete y CD-ROMs,
son fcilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la
seguridad de la informacin corporativa, y en especial para la seguridad de los datos de carcter
personal, tiene el control de estos medios.
a. Identificacin de Soportes
1. Los soportes que contengan informacin corporativa, bien como consecuencia de operaciones
intermedias propias de la aplicacin que los trata, o bien como consecuencia de procesos
peridicos de respaldo o cualquier otra operacin espordica, debern estar claramente
identificados (artculo 13.1 RD 994/1999) con una etiqueta externa que indique:
Fichero de que se trata

Tipo de datos contiene
Proceso que los ha originado
Fecha de creacin.
Los soportes enviados por la Tesorera General de Seguridad Social con los datos del SIL
correspondientes a las altas y modificaciones de usuarios de la Seguridad Social vienen
identificados con un cdigo, el nombre de la ciudad de donde provienen los datos, la fecha de
copia de esos datos y el nmero de registros que contiene.
73
b. Inventariado de Soportes y Transferencias

1. El Usuario Responsable de la Aplicacin/Fichero crear un inventario de soportes y
transferencias donde registrar cada soporte que contenga informacin de carcter personal o
confidencial, o cualquier transferencia telemtica de dicha informacin, y en el cual indicar:
Identificador del soporte o transferencia telemtica

lugar en el que se encuentra el soporte, o de envo de la transferencia
Formato (disquete, CDROM, correo electrnico, etc.)
Fecha de creacin del soporte o de envo
Responsable de la operacin
Fecha de baja del soporte
Mtodo para la destruccin de la informacin cuando se produzca la baja
Responsable de la baja del soporte
c. Almacenamiento de Soportes
1. Los soportes que contengan informacin corporativa debern estar almacenados en lugares a
los que solo tengan acceso personas autorizadas a acceder a dicho fichero.
El Servicio de Informtica del SAS almacena en armarios ignfugos en el CTI y en la segunda
planta del Servicio de Informtica en formato CD-ROMS, la informacin del SIL enviada por la
Tesorera General de la Seguridad Social.
d. Entrada y Salida de Soportes

1. La salida de soportes informticos, con informacin clasificada como confidencial o personal
de nivel alto, ya sea en formato fsico (disquete, CDROM, listado, etc.) o en formato
electrnico (correo electrnico), fuera de los locales destinados a tal efecto deber ser
expresamente autorizada por el Usuario Responsable de la Aplicacin/ Fichero11 (artculo 13.2
RD 994/1999).
2. La distribucin de dichos soportes (con informacin confidencial o personal de carcter alto)
se realizar cifrando los datos, de forma que no sean manipulados durante su transporte
(artculo 20.4 RD 994/1999). El Servicio de Informtica no realiza ninguna salida de datos en
soporte informtico. Solo se transmiten a travs de redes de telecomunicaciones.
La entrada de datos que recibe el Servicio de Informtica viene enviada por la Tesorera
General de la Seguridad Social, y contiene los datos del SIL. El destinatario de este envo es
el responsable del CTI del Servicio de Informtica. La informacin viene en formato CD,
etiquetada y enviada por correo ordinario. Cada envo contiene la informacin correspondiente
a las altas y modificaciones de usuarios de la Seguridad Social de cada una de las provincias
de Andaluca.
11
El RD 994/1999 establece en su artculo 13.2 que la autorizacin ser del Responsable del
Fichero. Sin embargo para una ms gil operativa se establece en el S.A.S. que la autorizacin
ser del Usuario Responsable de la Aplicacin/Fichero por ser quien vela en su operativa diaria
por el cumplimiento de las normas establecidas sobre la informacin que trata.
74

3. La transmisin de datos de carcter personal de nivel alto o informacin confidencial, a travs
de redes de telecomunicaciones se realizar cifrando dichos datos o bien utilizando cualquier
otro mecanismo que garantice que la informacin no sea inteligible ni manipulada por terceros
(artculo 26 RD 994/1999). Los datos que se envan desde el Servicio de Informtica del SAS
van encriptados en formato zip con contrasea. Se envan a travs de redes de
telecomunicaciones (correo electrnico corporativo).
4. Toda entrada o salida de soportes con informacin confidencial o personal, ya sea en formato
fsico o electrnico, ser registrado en el Registro de Entrada/Salida del centro
correspondiente, hacindose constar la siguiente informacin (artculo 20.1 y 20.2 RD
994/1999):
Tipo de soporte
Fecha y hora de entrada o salida
Emisor (entradas) y destinatario (salidas)
Responsable de recepcin (entradas) y de entrega (salidas)
Tipo de informacin que contiene
Forma de envo
Entendiendo por responsable de la recepcin (entradas) al receptor que deber estar

debidamente autorizado para acceder a la informacin correspondiente y se responsabilizar
de la custodia, no distribucin y seguridad de la informacin contenida en el soporte.
Entendiendo por responsable de entrega (salidas) al remitente que deber estar debidamente
autorizado y se responsabilizar de la custodia, no distribucin y seguridad de la informacin
contenida en el soporte hasta su entrega y/ o devolucin.
La aplicacin donde se registran las entrada/ salida de soportes con informacin personal o
confidencial se denomina REGISTRO ENTRADA/ SALIDA DE SOPORTES INFORMTICOS
DEL CTI
e. Destruccin de Soportes
1. Aquellos medios que sean reutilizables, y que hayan contenido copias de informacin
corporativa, debern ser borrados fsicamente antes de su reutilizacin, de forma que los
datos que contenan no sean recuperables. (Artculo 20.3 RD 994/1999).
2. Todos aquellos soportes que dejen de tener su utilidad y puedan ser destruidos conforme al
apartado anterior (1) sern dados de baja en el apartado correspondiente del registro de
soportes. En el Servicio de Informtica del SAS, los soportes recibidos de la Tesorera General
del SAS con los datos del SIL se destruyen cada cinco aos segn el artculo 17 de la Ley
41/2002 de 14 de noviembre. Dichos soportes se llevan a la sala de operadores del CTI y all
son destruidos mediante una maquina trituradora de papel y de CDS.
La informacin corporativa confidencial o de carcter personal del Sistema Sanitario Pblico de
Andaluca se encuentra centralizada en los servidores de Base de Datos ubicados en el Servicio
de Informtica de los SSCC del SAS. El acceso a estos datos as como la gestin de los soportes
con las copias de seguridad se rigen por los puntos 7, 8 y 9 de este manual, por lo que dentro de
este apartado, nos centramos exclusivamente en la entrada y fundamentalmente salida de datos,
tanto puntual como peridica que se realizan de los datos que se encuentran centralizados en el
CTI (CPD del SAS).
El procedimiento para la solicitud al CTI de cualquier conjunto de datos del SSPA ser el siguiente:
75

1. La persona que solicita los datos rellenar el primer recuadro de la solicitud que se adjunta al
final de este Anexo (y que podr encontrar en http://portal-cti.sas.junta-andalucia.es en el
apartado "Procedimientos y Formularios"). En l har constar entre otros su nombre, nif,
telfono de contacto, breve descripcin de los datos solicitados, finalidad, etc.
Una vez rellena esta parte, la solicitud se har llegar (bien personalmente o bien por fax) al
Responsable de los Datos del Proyecto.
2. Cuando el Responsable de los Datos del Proyecto reciba la solicitud, decidir sobre si los
datos se entregan o no. En caso afirmativo, rellenar el segundo recuadro de la solicitud,
donde indicar nombre, cargo, fecha, hora y firma y enviar la solicitud a la Unidad de
Operaciones y CTI del Servicio de Informtica del SAS (fax n 955017158).
3. Una vez recibida la solicitud en la Unidad de Operaciones, se proceder a la generacin y
entrega del correspondiente fichero con los datos solicitados; dicha entrega se realizar como
norma general a travs del Portal-Cti, pudiendo utilizar otros medios (correo, CD, etc.) cuando
por algn motivo excepcional as se decida desde el Servicio de Informtica. En caso de ser
necesario, los datos irn encriptados con una contrasea, de forma que en todo momento se
cumpla la Ley Orgnica 15/1999, de Proteccin de Datos de Carcter Personal.
4. Junto al envo de los datos se proceder al correspondiente registro en la aplicacin
REGISTRO ENTRADA/SALIDA DE SOPORTES INFORMTICOS DEL CTI:
En los botones de Consultar ENTRADAS y Consultar SALIDAS nos muestran en pantalla las
diferentes entradas y salidas registradas.
En los botones de Informe ENTRADAS e Informe SALIDAS nos permiten imprimir las diferentes
entradas y salidas registradas.
76

El botn REGISTRO nos da acceso a la aplicacin para poder dar de alta, modificar, consultar y
eliminar registros de entrada y salida:
Formulario de solicitud de datos:

Registro de E/S:
SOLICITUD DE DATOS del Sistema Sanitario Pblico de Andaluca

A rellenar por la persona que solicita los datos
77
D. _______________________________________________________ NIF: ___________

(Nombre y apellidos)
Puesto de trabajo: ____________________________ Tlfno de contacto: ______________
Breve descripcin de los datos solicitados: _________________________________________
_________________________________________________________________________
_________________________________________________________________________
Finalidad para la que usarn los datos solicitados: ____________________________________
_________________________________________________________________________
_________________________________________________________________________
He sido informado de mi papel en el uso de los datos a manejar, y conozco y acepto las obligaciones
que conlleva dicho acceso, segn la legislacin vigente.
As mismo, me comprometo a utilizar los datos nicamente para las funciones establecidas en el
SSPA y para las que son recogidos; a cumplir las normas bsicas de seguridad de acceso y a
Mantener el obligado secreto profesional en relacin con los datos que pueda manejar.
Fecha: _____________________________
Firma: ______________________________
A rellenar por el Responsable de la Aplicacin/Datos del Proyecto

Aprobado por: __________________________ Cargo: ______________________________
Fecha: ________________________________ Firma: ______________________________
A rellenar por el Servicio de Informtica

Aprobado por: __________________________ Cargo: ______________________________
Fecha: _______________________________ Firma: ______________________________
A rellenar por el Tcnico del CTI que entrega los datos

Entregado por: __________________________ Medio: ______________________________
(Portal-CTI,
Correo,
CD,.)
Fecha: _______________ Hora: ___________ Firma: ______________________________
78
7. Procedimientos de Respaldo y Recuperacin.

OBJETIVO
La seguridad de la informacin no slo supone la confidencialidad de los misma sino que tambin
conlleva su integridad y disponibilidad.
Para garantizar estos dos aspectos fundamentales de la seguridad es necesario que existan unos
procesos de respaldo y de recuperacin que, en caso de fallo del sistema informtico, permitan
recuperar y en su caso reconstruir la informacin (Artculo 14.2 RD 994/1999).
Este documento describir los pasos que se deben seguir por todo el personal responsable de
realizar copias de respaldo. Se describir la periodicidad con la que debern realizarse las copias.
Tambin se describir como debe actuarse en caso de fallo del sistema con prdida total o parcial
de los datos de tal forma que partiendo de la ltima copia de respaldo y del registro de las
operaciones realizadas desde el momento de la copia, reconstruya los datos al estado en que se
encontraban en el momento del fallo.
DESCRIPCIN
a. Confidencialidad
1. No estar permitido facilitar ninguna informacin acerca de las medidas de seguridad en vigor,
sistema de almacenaje, contenidos, procedimientos de uso normal y emergencia, etc., siendo
considerada esta informacin como confidencial al mximo nivel.
b. Responsables
1. El Administrador de Sistema/Red/BD es el responsable de realizar las copias de respaldo, de
realizar la verificacin de que las copias se hayan hecho de forma correcta y de realizar las
recuperaciones de la informacin, as como de tener un registro en el que se anotarn todas
las posibles incidencias que ocurran al realizar las copias y todas las recuperaciones de
informacin que se tengan que hacer.
2. Al Responsable de Seguridad le corresponde la supervisin de los soportes de grabacin de
las copias de respaldo y de las relaciones con las empresas externas (siempre que stas
lleven a cabo labores de copias de respaldo y desarrollen la labor de custodia y
aseguramiento de las copias de respaldo), toda vez que se cumpla con las garantas
contractuales y legales necesarias para garantizar la seguridad y confidencialidad de las
copias de respaldo, marcando las responsabilidades de cada parte en estas funciones. En el
Servicio de Informtica del SAS, el encargado de supervisar los soportes es el Responsable
de los Operadores del CTI. Tambin se encarga de comunicarse con los trabajadores de las
empresas encargadas de administrar los servidores, los cules le indicarn a qu informacin
tiene que hacerle copias de respaldo y en qu servidor se encuentra dicha informacin.
3. Para poder proceder a la recuperacin de informacin, a partir de las copias de respaldo, se
tendr que recabar la autorizacin previa del Responsable del Fichero a peticin del Usuario
Responsable de la Aplicacin/Fichero (Artculo 21.2 RD 994/1999).
79
c. Realizacin de Copias de Respaldo y Periodicidad

Debido a la complejidad y heterogeneidad de los sistemas informticos existentes en el Servicio
Andaluz de Salud, para la realizacin de copias de respaldo se utilizan distintos equipamientos
tanto fsicos como lgicos, as como distintas polticas.
Las copias de respaldo y periodicidad se realizan en el CTI del SAS. Estas copias son realizadas
mediante equipamientos fsicos, cuyas caractersticas se detallan a continuacin.
La informacin se encuentra almacenada en distintos servidores en el CTI. Dependiendo si la
informacin almacenada en los servidores pertenece al entorno Sanitario, dicha informacin ser
almacenada por un robot con unas caractersticas especificas, y si la informacin pertenece al
entorno de Recursos Humanos u Econmico esta informacin ser almacenada por otro robot con
otras caractersticas especficas. En resumen, tenemos informacin almacenada en servidores y
dependiendo del entorno al que pertenezca dicha informacin, las copias de respaldo se realizarn
por un robot o por otro.
Estos robots salvan diariamente la informacin necesaria para saber que es lo que hay grabado en
cada cinta (ya que cada cinta tiene un cdigo de barras que las identifica de manera nica), en
que fecha se grab, el nombre de la cinta....
Cada uno de estos robots se salva a si mismo la informacin necesaria para poder ejecutarse si
tuviesen que ser reemplazados por otro robot.
i. Entorno sanitario:
Si la informacin pertenece al entorno sanitario, las caractersticas del equipamiento fsico que
realiza las copias son las siguientes:
Entorno Sun:
-
El hardware que contienen los datos es un SF15K de Sun con cabina de discos Hitachi
9980V. La capacidad de almacenamiento es de 16 Terabytes.
El hardware de Backup que se utiliza es un Robot L180 de Storagetek.
El software de Backup instalado en el Robot es el NetBackup de Veritas.
El tipo de cinta que se utiliza para almacenar la informacin es: SDLT.
Entorno Fujitsu:
-
El hardware que contienen los datos es un PrimePower 2500 de Fujitsu con cabina de discos
Ethernus 6000. La capacidad de almacenamiento es de 32 Terabytes.
El hardware de Backup que se utiliza es un Robot LT270 de Fujitsu.
El software de Backup instalado en el Robot es el NetBackup de Veritas.
El tipo de cinta que se utiliza para almacenar la informacin es: LTO3.
80
APLICACIONES
Las aplicaciones que pertenecen al entorno sanitario y se almacenan en los servidores que se
encuentran en el CTI del SAS son las siguientes:
a) Entorno Transaccional(se pueden realizar operaciones de actualizacin, de
modificacin y de consulta sobre los datos de las bases de datos):
DIRAYA: Citacin, Prescripciones, Sicomop, Maco, Vacunas, Dispensaciones,
Visados, HS Atencin Primaria, HS nica, HS Urgencias, HS Consultas Externas,
Derivaciones, Estructura, Sirega, mdulo de anlisis y mdulo de comunicaciones.
BDU: Gadu, Intersas, Web-Services.
OTRAS APLICACIONES SANITARIAS: Aplicacin para la Gestin de la Demanda,
Segunda Opinin Mdica, Libre Eleccin de Mdico Especialista y Hospital, Farma,
Registro de Voluntades Vitales Anticipadas, Plan Integral Diabetes, Sistema de
Informacin del Fondo de Cohesin, Acta, Sigilum XXI, Sigap, Cdigo Numrico
Personal y @goras.
b) Entorno DataWarehouse(solamente se pueden realizar operaciones de consulta
sobre los datos de las bases de datos):
SANITARIOS: Facturacin, Recetas, Semad, Semi, Inforcoan, MTI-BDU, MTI-Citas,
MTI-Urgencias.
Las distintas polticas que se aplican en la realizacin de las copias de respaldo son las
siguientes:
1) DATOS: Entornos Transaccionales:
RMAN: Copia diaria completa (full backup en caliente).
El periodo de retencin es el siguiente:

Las copias diarias 28 das en cinta.
Una copia semanal con un ao en cinta.
Una copia mensual con 5 aos en cinta.
2) DATOS: Entornos DataWarehouse:
EXPORT: Diariamente se realiza un export de las estructuras, procedimientos,

etc., debido a que los datos no cambian.
En los entornos de DW se realiza una carga de datos una vez al mes. Despus de
dicha carga se para la BD (estn en modo NOARCHIVELOG) y se realiza una
copia completa de la BD. Esta copia se hace directamente en cinta debido al
elevado volumen de GB que ocupan.
El periodo de retencin de las copias es de 1 ao. Se dispone de dos juegos de

cintas, el A y el B que se usan alternativamente cada mes.
81
3) SISTEMAS:
Se realiza una copia completa cada fin de semana y una incremental diaria donde
se guarda la configuracin de cada equipo.
El periodo de retencin de las copias es de 1 mes.
4) COPIAS PARA FUERA DEL EDIFICIO:
Diariamente, sacaremos una copia diaria de todos las bds para trasladar a una
ubicacin diferente, la ubicacin actual es una caja fuerte en los Servicios
Centrales del SAS, en la Avenida de la Constitucin. Este juego de cintas tendr
una rotacin semanal, el pool de cintas al que pertenece es denominado
Productivos
Mensualmente, sacaremos una copia histrica (5 aos) de todos los datos para
trasladar a una ubicacin diferente, la ubicacin actual es una caja fuerte en los
Servicios Centrales del SAS, en la Avenida de la Constitucin. Este juego de
cintas tendr una rotacin quinquenal, el pool de cintas al que pertenece es
denominado Productivos_Historicos
7.3.2. Entorno Recursos Humanos y Econmico:
Si la informacin pertenece al entorno de recursos humanos y econmico, las caractersticas del
equipamiento fsico que realiza las copias son las siguientes:
-
El hardware que contienen los datos es un NovaScale de Bull con cabina de discos CX400
El hardware de Backup que se utiliza es un Robot L180 de Storagetek.
El software de Backup instalado en el Robot es el Open Save de Bull.
El tipo de cinta que se utiliza para almacenar la informacin es la DLT.

APLICACIONES
Las aplicaciones que pertenecen al entorno de Recursos Humanos y se almacenan en los
servidores que se encuentran en el CTI del SAS son las siguientes:
ENTORNO TRANSACCIONAL(se pueden realizar operaciones de actualizacin,
de modificacin y de consulta sobre los datos de las bases de datos): Nminas,
Expedientes, Turnos, Concurso de Traslado, Control Rendimiento Profesional,
Axon, Pasarela, Control Presupuestario, Ciclo del Dinero, Bolsa.
GESTIN ECONMICA: Consulta Documento Pago, Control Financiero

Permanente, Intereses de Demora, Transdata, Gestin del Presupuesto.
c) ENTORNO DATAWAREHOUSE(solamente se pueden realizar operaciones de

consulta sobre los datos de las bases de datos): Control Analtico del Gasto, Cuadro
de Mando, Estadsticas sobre Turnos y Absentismo, Plantilla.
GESTIN ECONMICA: Presupuesto de Gasto, Control Financiero y modelo de
compras.
82
1) DATOS:
Copia completa mensual cuyo periodo de retencin es de 2 meses, existiendo 2

juegos en CTI.
2) SISTEMAS:
Se realiza una copia mensual de todo el sistema, tanto Windows como GCOS.
3) ADEMS A PETICIN DE LOS EQUIPOS FUNCIONAL Y DE DESARROLLO:
Copia completa diaria cuyo periodo de retencin es de 15 das.
Copia completa quincenal cuyo periodo de retencin es indefinido.
Copia completa mensual antes y despus de cada clculo de nminas con un

periodo de retencin indefinido.
4) COPIAS PARA FUERA DEL EDIFICIO:
Existe una copia de las ltimas copias de Datos y de Sistemas, en SSCC.
d. Inventariado de Copias de Seguridad

El inventario facilita un acceso rpido a los soportes de datos, proporcionando informacin sobre
su lugar de almacenamiento y otras informaciones de gestin necesarias. En el CTI del Servicio de
Informtica del SAS, el inventario de las copias de seguridad es gestionado por los robots que
realizan las copias de seguridad. En el software que gestiona dichos robots viene detallado
cuando se dio de alta la cinta, su identificador, lugar donde se encuentra almacenada...
Identificador de la cinta
Lugar en el que se encuentra ubicada la cinta
Fecha de alta de la cinta
Fecha de baja de la cinta
83
En la siguiente pantalla vemos un ejemplo de dicho inventario:
e. Identificacin de Copias de Seguridad

1. Las cintas sern etiquetadas por los Administradores de Sistemas, realizando un registro con
la siguiente informacin:
Identificador de la cinta
Nombre del servidor
Informacin guardada (base de datos, etc.)
Tipo de copia (incremental, diferencial, completa...)
Juego de cintas
Responsable de copia de seguridad
Fecha de realizacin de la copia (dd/mm/aaaa)
El etiquetado externo de los soportes facilita su rpida identificacin. Las copias de seguridad
gestionadas por el CTI del SAS se identifican mediante el nombre del pool, del job o proceso o
tambin con el nombre del servidor( cuando se hace una copia completa de ese servidor) ,
dependiendo de la copia que se haga. Tambin vienen identificadas de forma nica mediante un
cdigo de barras impreso en el lateral del soporte donde se almacena la copia de seguridad.
84
En la siguiente pantalla vemos un ejemplo de la informacin que obtenemos de cada cinta:
f. Almacenamiento de las copias de seguridad

1. Cualquier localizacin donde se almacenen copias de respaldo deber cumplir con los ms
severos requerimientos de seguridad fsica (proteccin contra incendios, contra inundacin,
controles de temperatura y humedad, control de accesos, vigilancia, etc.), de acuerdo con lo
establecido en las normas de seguridad fsica del edificio en el que se encuentra. El CTI del
Servicio de Informtica del SAS y las instalaciones que el SAS tiene en la Avenida de la
Constitucin son las ubicaciones donde actualmente se almacenan las copias de respaldo.
Dichas localizaciones cumplen los requisitos de seguridad fsica necesarios. Los
requerimientos de seguridad fsica que se cumplen en el CTI del SAS vienen descritos en el
anexo A.1 Seguridad en la Sala de Servidores. Las copias de seguridad que se encuentran en
el CTI del SAS se encuentran alojadas en armarios ignfugos bajo llave.
2. Deber existir al menos una copia de respaldo en un lugar diferente de aqul en que se
encuentren los equipos informticos y protegido del acceso de personal no autorizado (caja
fuerte del centro de trabajo). Una vez al dia, personal de la empresa de seguridad OMEGA se
encargan de transportar una copia de seguridad de toda la informacin almacenada en los
servidores del CTI del SAS a las instalaciones que el SAS tiene en Avenida de la Constitucin.
Dicha copia se guarda en un armario bajo llave en una sala custodiada por los vigilantes de
seguridad de dichas instalaciones. Solo personal autorizado puede entrar a esta sala. En un
futuro, se pretende que las copias de seguridad que tienen que estar en un lugar diferente al
85

del CTI sean trasladadas al centro de respaldo de Mlaga, en vez de llevarlas a las
instalaciones de Avenida de la Constitucin.
3. Las cintas se almacenarn en condiciones adecuadas de temperatura entre 18 C y 26 C, y
humedad alrededor 40% H. R. La sala de servidores y la sala de operadores del CTI del SAS,
tal y como explicamos en el anexo A.1 Seguridad en la sala de servidores poseen la
temperatura y humedad adecuada para almacenar copias de seguridad.
4. Ser obligatoria la utilizacin de una autorizacin escrita, por parte del Responsable de
Sistemas y Tecnologas de la Informacin para retirar alguna copia fuera de las cmaras de
seguridad. Solamente estn autorizados a retirar copias de seguridad el responsable del CTI
del SAS y el Responsable de la Sala de Operadores del SAS. Si otra persona necesita retirar
una copia de seguridad tiene que tener una autorizacin escrita por parte del Jefe del Servicio
de Informtica y por parte del Responsable del CTI del SAS.
g. Entradas y Salidas de Copias de Seguridad

1. Toda entrada o salida de copias de seguridad, ser registrado en el Registro de
Entrada/Salida del centro correspondiente, hacindose constar la siguiente informacin
(artculo 20.1 y 20.2 RD 994/1999):
Tipo de soporte
Fecha y hora
Emisor (entradas) o destinatario (salidas)
Responsable de recepcin (entradas) o de entrega (salidas)
Tipo de informacin que contiene
Forma de envo
Toda la informacin de entrada/ salida de copias de seguridad queda registrado en el software que
gestiona los robots donde se realizan las copias de seguridad. Las caractersticas de dichos robots
viene descrita en el apartado 7.3 Realizacin de Copias de Respaldo y Periodicidad.
h. Verificacin de Copias de Seguridad

1. Cuando termine el proceso de copia, el Administrador de Sistemas comprobar que la copia
se ha realizado correctamente.
2. El Administrador de Sistemas verificar las copias al menos dos veces por ao (acorde con la
frecuencia de actualizacin y la importancia de la informacin), para comprobar (contenido y
calidad) que continan siendo legibles, as como que existen medios para procesarlas. No se
realiza verificacin de copias de seguridad ya que el proceso que se sigue para realizar copias
de seguridad hace que las cintas donde se realizan las copias, se utilicen constantemente tal y
como viene explicado en el apartado 7.3 Realizacin de Copias de Respaldo y Periodicidad,
con lo que las copias son comprobadas de una forma reiterada, comprobndose si son
legibles, si funcionan bien...
86
i. Recuperacin de Informacin
La Recuperacin de Informacin contempla la recuperacin de ficheros, tablas u otras estructuras
de almacenamiento desde las copias de salvaguardia slo ante una incidencia, y utilizando
procesos especficos no planificados.
1. Recibida una incidencia (segn el procedimiento habilitado para ello), el Responsable de
Seguridad, conjuntamente con el Administrador de Sistemas y, si la incidencia lo requiere, los
Responsables del Tratamiento y los responsables Informticos afectados, analizarn la misma
y decidirn, si es preciso, qu ficheros o tablas se recuperarn y a partir de qu copias de
salvaguardia, para garantizar la reconstruccin y coherencia de los datos de los aplicativos.
2. Ser necesaria la autorizacin por escrito del Responsable del Fichero para la ejecucin de
los procedimientos de recuperacin de los datos. (Artculo 21.2 RD 994/1999).
En el S.A.S. esta funcin ser delegada al Usuario Responsable de la Aplicacin/ Fichero.
La autorizacin se realizar a travs de la aplicacin de Mantenimiento del Sistema de
Informacin, dando el Usuario Responsable de la Aplicacin/ Fichero su visto bueno (OK del
responsable) a una incidencia generada a tal efecto.
3. El Administrador del Sistema/Red/Base de Datos ser el encargado de recuperar la
informacin requerida.
4. En el registro de incidencias deber consignarse; los procedimientos realizados para la
recuperacin de los datos, la persona que ejecuta el proceso, los datos restaurados, los datos
que ha sido necesario grabar manualmente en el proceso de recuperacin. (Artculo 21.1 RD
994/1999).
La solicitud formal de peticin de una recuperacin de datos que se utiliza es la siguiente:
87
SERVICIO DE INFORMTICA - UNIDAD DE OPERACIONES

SOLICITUD DE RESTAURACIN DE DATOS
(A rellenar por Desarrollo)
PROYECTO: _____________________________ MDULO: _____________________________ URGENTE

(SI/NO): ___________
DATOS A RESTAURAR:
___________________________________________________________________________________________
_________________________________________________________________________________________________
_________________
_________________________________________________________________________________________________
_________________
DESTINO DE LOS DATOS RESTAURADOS:

_________________________________________________________________________
_________________________________________________________________________________________________
_________________
MOTIVO QUE CAUSA LA RESTAURACIN:

________________________________________________________________________
_________________________________________________________________________________________________
_________________
_________________________________________________________________________________________________
_________________
SOLICITADO POR: __________________________________________________________TLFNO:

_____________________________
CARGO: _________________________________________ FECHA: _________________ FIRMA:

_____________________________
88

(A rellenar por Responsable del Proyecto)
AUTORIZADO POR: ________________________________________ CARGO: RESPONSABLE DEL PROYECTO

____________
FECHA PROPUESTA RESTAURACIN DE DATOS: _____/_____/_____ HORA: _________ FIRMA:

______________________
(A rellenar por Unidad de Operaciones y CTI)
APROBADO POR: _______________________________________ CARGO: RESPONSABLE CTI

_____________________________
FECHA: ______/______/______ FIRMA:

___________________________________________________________________________
TCNICO CTI: __________________________________________ FECHA: ______/______/______ HORA:

_____________________
FIRMA:
_________________________________________________________________________________________________
__________
(A rellenar por Desarrollo, Responsable de Proyecto o CTI)
OBSERVACIONES:
En un entorno de pruebas, en la primera semana de cada mes se realizar la recuperacin

de una aplicacin, comprobando que todo se realiza correctamente. Estas aplicaciones irn
rotando secuencialmente. En el CTI del SAS no se realizan entorno de pruebas de las
aplicaciones.
89
j. Destruccin de las copias de seguridad

1. Cuando un soporte vaya a ser desechado o reutilizado, se adoptarn las medidas necesarias
para impedir cualquier recuperacin posterior de la informacin almacenada en l,
previamente a que se proceda a su baja en el inventario (Artculo 20.3 RD 994/1999).
2. Asimismo el Administrador de Sistemas har constar la baja correspondiente en la inscripcin
efectuada en el inventario de copias de seguridad.
3. El sistema de desechado de cintas es totalmente manual. La destruccin de las cintas se hace
de modo que sea materialmente imposible la recuperacin de sus datos:
Antes de desechar la cinta se graba encima de los datos personales, otros de carcter
general (y por tanto no protegidos) y que no suponga ningn tipo de infraccin su
recuperacin (sistemas de borrado seguro a base de cadencias de texto o de
caracteres sin sentido).
Destruccin fsica de la cinta de forma manual.
k. Auditoria del Sistema de Copias de Seguridad

1. Dada su gran importancia, las normas y procedimientos descritos sern auditados dos veces
al ao por el Responsable de Seguridad, documentando en un informe los resultados.
Fichero maestro de requerimientos de seguridad para cada activo de informacin.
Sistema de planificacin de copias.
Sistema de ejecucin de copias.
Registro de ejecucin de copias.
Seguridad fsica de cada cmara de almacenaje.
Procedimientos de transporte y almacenaje de copias.
Procedimientos de retirada de copias y recuperacin de ficheros.
Procedimiento de eliminacin de soportes. Procedimiento de registros de
entrega/recepcin de soportes en caso de servicio de destruccin por parte de terceros.
Adems, revisin del servicio practicado por dicha empresa.
90
8. Descripcin del Uso del Sistema de Informacin Corporativa

Toda aplicacin o sistema que facilite el acceso a informacin corporativa, con datos de carcter
personal o no, tendr disponible y actualizada documentacin tcnica y de usuario.
Dichos manuales, tanto tcnico como de usuario, estar siempre disponible, y exclusivamente,
para el personal tcnico o usuario que le afecte.
a. Documentacin Tcnica
En la documentacin tcnica se explicar, al menos:
Control de versiones.
Modelo de datos.
Si se trata de un paquete o producto estndar del mercado o de un desarrollo propio.
Cdigo de programa, en el caso de un desarrollo propio.
Control de acceso a la informacin.
Plataforma hardware y software que lo soporta.
Entorno de comunicaciones (tipo de red, mbito, conexin con otras redes, controles de
acceso, etc.)
b. Documentacin de Usuario
En la documentacin para el usuario se explicar:
Todas y cada una de las funcionalidades de la aplicacin o sistema
Diccionario de datos.
En caso de existir distintos perfiles de usuario para una misma aplicacin o sistema, se dispondr
de un manual especfico por cada uno de los perfiles adecundose segn los permisos de acceso
que se dispongan.
Toda la documentacin tecnica y de usuario de cada una de las aplicaciones del S.A.S declaradas
ante la Agencia Espaola de Proteccin de Datos, se encuentran en la siguiente direccin del
servidor sc-sas-6:
\\sc-sas-6\SSCC\ServicioInformatica\CarpetasServicio\CTI\Software
Tambin se puede acceder a la documentacin relativa a la aplicacin DIRAYA a travs de la
siguiente URL:
http://10.234.22.105/dirayainforma/
91
9.
Procedimiento de Acceso al Sistema de Informacin
OBJETIVO
Describir el control de acceso a la informacin corporativa implantado, garantizando que los
usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el
desarrollo de sus funciones. (Artculo 12 RD 994/1999).
DESCRIPCIN
a. Identificacin y Autenticacin
El responsable del fichero establecer un mecanismo que permita la identificacin de forma
inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y
la verificacin de que est autorizado (Artculo 18.1 RD 994/1999).
1. El Sistema de Informacin, que facilita el acceso a informacin corporativa, tendr su acceso
restringido mediante un cdigo de usuario y una contrasea.
La contrasea es una serie arbitraria y secreta de caracteres que hay que suministrar para
poder acceder a sistemas, subsistemas, aplicaciones, programas, funciones, etc.
Las contraseas personales constituyen uno de los componentes bsicos de la seguridad de
los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al
sistema, las contraseas debern ser estrictamente confidenciales y personales, y cualquier
incidencia que comprometa su confidencialidad deber ser inmediatamente comunicada al
Administrador de Red/Sistemas y subsanada en el menor plazo de tiempo posible.
2. Todos los usuarios autorizados para acceder a determinada informacin corporativa, debern
tener un cdigo de usuario que ser nico, y que estar asociado a su contrasea individual
correspondiente, que slo ser conocida por el propio usuario.
3. Cada usuario ser responsable de la confidencialidad de su contrasea y, en caso de que la
misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deber
registrarlo como incidencia y proceder a su cambio o que sta sea cambiada por el
Administrador de Red/Sistemas.
4. Solamente, para aquellos casos excepcionales en los que sea necesario continuar con las
funciones que realizaba la persona ausente (debido a una baja o ausencia temporal no
prevista), el Director del Centro, rea o Servicio o en caso de ficheros de carcter personal el
Usuario Responsable de la Aplicacin/Fichero, podr solicitar a los administradores el acceso
a sus datos, dejando constancia en el registro de Mantenimiento del Sistema de Informacin.
5. En el caso de que el Administrador de Sistemas solicite la contrasea/password para tareas
de mantenimiento, la misma deber ser cambiada inmediatamente despus que se termine
con dichas tareas.
6. Cada usuario tiene un perfil determinado. Introduciendo su usuario y contrasea podr
acceder al Sistema de Informacin del S.A.S. donde estarn aquellas aplicaciones a las que
tiene acceso en virtud del perfil asignado.
7. Tras tres intentos de acceso fallidos, por equivocacin del usuario al introducir su clave, se
92

bloquear su cuenta durante un periodo de una hora. En caso de ser necesaria su activacin
inmediata se solicitar el desbloqueo al Administrador de Red/Sistemas/Base de Datos, por
parte del propio usuario.
Se limitar la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de
informacin (Artculo 18.2 RD 994/1999).
b. Caractersticas del Identificador de Usuario y Contrasea

Depender de las restricciones tcnicas de los sistema operativos y de las restricciones
funcionales de cada aplicacin.
El identificador de usuario y contrasea que tiene el conjunto de aplicaciones DIRAYA consiste en
lo siguiente:
-
Cada identificador est compuesto de cuatro atributos:

1. Permiso\ No permiso (si se le concede permiso o no se le concede
permiso para acceder como usuario)
2. Perfil: Es el perfil del usuario: Puede ser medico, enfermero..
.
3. mbito: Donde el usuario puede trabajar
4. Aplicacin: Dependiendo del perfil de cada usuario, este podr
acceder a una aplicacin u otra.
El mecanismo de identificacin es el siguiente:
Un usuario que quiera acceder a la Historia Digital de Salud del Ciudadano (DIRAYA), tendr que
autenticarse introduciendo su login y password. Una vez introducido estos datos son encriptados
mediante el algoritmo de encriptacin MD5 y enviados para su procesamiento a MACO. En MACO
dichos datos son procesados.
Los siguientes ficheros se validan contra MACO (Mdulo de Administracin Centralizada de
Operadores), que es una aplicacin que se encarga de la gestin de los usuarios del DIRAYA:
Nombre del Proyecto: BDU
Gadu
Webservices 2.2
Nombre del Proyecto: DIRAYA3

Atencin Especializada- CAE
Historia de la Salud Digital- CAP
Historia de la Salud- HSMINI
Historia de Salud nica
Visados
Receta XXI
Sicomop
Vacunas
Citacin Web
Derivaciones
Estructura
93
Gestor Impresin
HS nica
HS Atencin Primaria- CAP
HS Consultas Externas- CAE
HS Urgencias-CAP y CAE
Historia de Salud- HSMINI
Pruebas Funcionales
Receta XXI
Sirega
Vacunas
Visados
Maco
Pruebas Diagnsticas por Imagen
Anlisis
Diraya Informa
Nombre del Proyecto: Consejera

Registro de Voluntades Vitales
Sigilum XXI
Nombre del Proyeco: Varias aplicaciones
PID
Sigesom
Nombre del Proyecto: Sircata
IRC
Dichos ficheros tienen unas caractersticas especificas de usuario y contrasea que son las
siguientes:
a) Para el nombre de usuario se sigue la siguiente nomenclatura: Se cogen las dos primeras
letras del nombre, las dos primeras letras del primer apellido y las dos primeras letras del
segundo apellido ms un numero secuencial que va desde el 001 hasta 999 en el caso de
que existan 999 personas que posean el mismo nombre y apellidos. Si por ejemplo existen
dos usuarios registrados en MACO que tengan el mismo nombre y apellidos (Jos Lpez
Ruiz), el nombre de usuario para ambos ser: joloru001 y joloru002.
b) El usuario es el encargado de escribir la contrasea la primera que entra en el sistema. Dicha
contrasea tiene que estar formada por seis caracteres alfanumricos como mnimo.
c) El usuario tiene hasta nueve intentos para poder acceder al sistema. Si el usuario no ha
podido acceder al sistema tras estos nueve intentos, el sistema bloquear la cuenta y
solamente podr ser restablecida por el administrador de sistemas.
d) El usuario tiene que cambiar la contrasea cada seis meses.
e) Los usuarios del sistema mandan una solicitud para acceder al sistema. El administrador del
sistema les manda a cada usuario una carta personalizada, en la que se le mandan el nombre
de usuario y una clave, la cul tienen que cambiarla obligatoriamente la primera vez que se
conectan al sistema.
Para los siguientes ficheros, las caractersticas del identificador de usuario y contrasea son:
Nombre del Proyecto: BDU
MTI- BDU
94

MTI- Citas
MTI- Urgencias
Nombre del Proyecto: FARMACIA
MTI- Recetas 7i
MTI- Semad
MTI- Facturacin7
Nombre del Proyecto: RRHH
MTI- Analtica del Gasto

MTI- Turnos y Absentismo
MTI- Plantilla
MTI- Cuadro de Mando
Nombre del Proyecto: Consejera

MTI- SigilumXXI
Las caractersticas son las siguientes:
a) Para el nombre de usuario se sigue la siguiente nomenclatura: Se escribe la primera
letra del nombre y el primer apellido completo.
b) Para la contrasea, se escribe el dni del usuario que se quiere dar de alta pero sin la
letra. Dicha contrasea tiene que ser cambiada obligatoriamente la primera vez que el
usuario accede a la aplicacin.
c) Posteriormente, tendr que cambiar la contrasea porque as lo requiere el sistema,
cada 90 das.
d) El usuario puede autenticarse en el sistema cuantas veces quiera ya que no tiene
control de bloqueo de acceso al sistema.
Para los ficheros:
Correo
Web SAS
Intranet SAS
Central Logstica de Compra
Seguimiento Implantacin Terminales Atencin Especial
las caractersticas del identificador de usuario y contrasea son las siguientes:

e) Para el nombre de usuario se sigue la siguiente nomenclatura: Se escriben las
iniciales del nombre y apellidos y tres dgitos de manera secuencial a continuacin.
f)
Para la contrasea, cada una de las aplicaciones tiene un script el cul te genera las
claves de forma aleatoria. El usuario puede cambiar dicha clave.
g) El usuario tiene tres veces como mximo para autenticarse en el sistema antes de
que el sistema se bloquee.
h) Para la aplicacin Correo, los datos con el usuario y contrasea son enviados al
responsable de informtica de cada centro, quien ser el encargado de configurar, con
esos datos, las cuentas de correo de cada uno de los usuarios.
Para el fichero Registro de Implantes Quirrgicos, las caractersticas son las siguientes:
95
i)
j)
La aplicacin utiliza base de datos Oracle y SQL, luego la metodologa de asignacin

de nombre de usuario y contrasea a usuarios es la que se utiliza en Oracle.
Los datos son mandados por correo electrnico o por correo ordinario.
Para el fichero LMEH, las caractersticas del identificador de usuario y contrasea son:
k) Para el nombre de usuario, el primer dgito corresponde a un numero del 1 al 8 que se
corresponde con una provincia. Estos nmeros se corresponden con cada una de las
ocho provincias andaluzas ordenadas por orden alfabtico. En este caso a la provincia
de Almera le correspondera el 1, a Cdiz el 2...El segundo dgito corresponde a una
letra. Dependiendo de si es un hospital, le correspondera una h, si es un distrito le
correspondera una d y si es un centro de salud, le correspondera cs. A continuacin
vienen otros dos dgitos con las dos primeras iniciales de la provincia donde se
encuentra y hasta completar ocho dgitos se escriben nmeros de forma creciente
comenzando en el 001.
l)
Para la contrasea, se escribe el mismo numero de usuario pero quitndole el primer

dgito.
m) La primera vez que entra se le dice al usuario que cambie la contrasea, pero no es
obligatorio.
n) Cada tres meses el usuario tiene que cambiar la contrasea.
o) La contrasea no tiene un nmero mnimo de caracteres alfanumricos a introducir
pero si un mximo de 20.
p) El usuario puede realizar tantos intentos de conexin a la aplicacin ya que la
aplicacin no cuenta con el sistema de bloqueo.
q) El procedimiento para que el usuario se de alta en la aplicacin es el siguiente:
Rellena un formulario de solicitud de alta, el cual se encuentra en el Portal CTI. Dicha
solicitud la manda a CEGES y CEGES se la manda al operador de la aplicacin
LMEH como si fuera una incidencia y este la tramita.
r)
Posteriormente, el operador de la aplicacin le manda los datos al usuario por via

telefnica.
Para el fichero INTERSAS la identificacin del usuario y contrasea para poder entrar en la
aplicacin se realiza mediante certificados digitales.
Para las siguientes aplicaciones del proyecto RRHH:
Gerhonte
Cnp
Bolsa de empleo
Las caractersticas del identificador de usuario y contrasea son:
s) Para el nombre de usuario, el primer dgito corresponde a un numero del 1 al 8 que se
corresponde con una provincia. Estos nmeros se corresponden con cada una de las
ocho provincias andaluzas ordenadas por orden alfabtico. En este caso a la provincia
de Almera le correspondera el 1, a Cdiz el 2...El segundo dgito corresponde a una
letra. Dependiendo de si es un hospital, le correspondera una h, si es un distrito le
correspondera una d. Los dos siguientes dgitos son para identificar el centro dentro
de la provincia, por ejemplo, si es el Hospital Virgen del Roco, los dos dgitos sern
96

VR. Los otros dgitos son cuatro dgitos numricos secuenciales dentro de cada
centro.
t)
La contrasea no requiere un mnimo de caracteres para ser vlida. El usuario al

iniciar en la aplicacin puede cambiar la contrasea si lo desea. Si no la cambia, esta
le caducar a los tres meses. El usuario puede cambiar la contrasea en el momento
que quiera.
u) El usuario puede realizar tantos intentos de conexin a la aplicacin ya que la

aplicacin no cuenta con el sistema de bloqueo.
v) El usuario le solicita el alta a su jefe de servicio y este la tramita al coordinador
provincial y este, a su vez, lo tramita al encargado de personal, que a su vez lo
reenva al tcnico de gestin de usuarios. Una vez realizada el alta, se reenvan los
datos al jefe de servicio que ha solicitado el alta va fax.
c. Altas de Usuarios
1. La solicitud de alta de un nuevo usuario en los Sistemas del S.A.S. se realizar a travs de la
pgina de la intranet del S.A.S.:
http://portal-cti.sas.junta-andalucia.es/alta_usuarios.htm
Aqu estn todos los formularios requeridos para dar de alta a los usuarios en las distintas
aplicaciones del S.A.S. y el procedimiento que se ha de seguir. En particular, disponemos de
altas para:
Procedimiento para solicitar datos del SSPA

Solicitud datos
Solicitud de cambios al CTI

Formulario de Solicitud de cambios al CTI
Procedimiento para solicitar acceso a travs de VPN al SSPA

Solicitud de la empresa externa para acceder a travs de VPN al SSPA
Procedimiento para solicitar altas de usuarios

Solicitud Administrador Delegado Diraya ATENCION PRIMARIA
Solicitud Administrador Delegado Diraya ATENCION ESPECIALIZADA
Solicitud Administrador Delegado Diraya MDULO VISADOS
Solicitud Administrador Delegado Diraya OTROS MDULOS
97

Informacin para Administradores Delegados de Diraya
Solicitud Usuario Diraya
Informacin sobre Mdulos y Perfiles de Diraya
Solicitudes BDU
Solicitud Usuario Receta XXI
Solicitud Usuario Visados
Solicitud Usuario Genrico
Solicitud Usuario Recursos Humanos
Solicitud Usuario Gestin Econmica
Solicitud Usuario MTI Bdu y Citas
Solicitud Usuario otros MTI
Solicitud Usuario Intranet/Correo
Nunca, bajo ningn concepto, se dar de alta a un usuario mediante una solicitud telefnica.
2. La solicitud de alta de un nuevo usuario no perteneciente al S.A.S. (personal subcontratado)
se realizar a travs de los registros de Mantenimiento del Sistema de Informacin, por parte
del responsable correspondiente (subcontrata).
Nunca, bajo ningn concepto, se dar de alta a un usuario mediante una solicitud telefnica.
3. En la solicitud debern aparecer como mnimo los siguientes datos:
Nombre
Primer apellido
Segundo apellido
DNI
Centro de Trabajo
Permisos de acceso especficos
Fecha efectiva del alta
4. La primera contrasea de un usuario que va a ser dado de alta, la conceder el Administrador

de Red/Sistemas/Base de Datos.
5. Dicha contrasea, junto a su identificador de usuario, se le comunicar en persona, mediante
correo certificado de valija interna. Inmediatamente despus de lo cual el usuario deber
cambiar dicha contrasea.
6. Al dar de alta a un nuevo usuario se le asignarn, o darn acceso a los siguientes recursos:
Espacio individual en el servidor de su centro de trabajo correspondiente.

Cuenta de correo individual
Acceso al Sistema de Informacin del S.A.S. con permisos a la Informacin y
aplicaciones correspondientes.
7. En caso excepcionales en los que no se puedan ejecutar los circuitos ordinarios, se llevar a
cabo un circuito especial. Ver Anexo G.
98
d. Bajas de Usuarios
1. Ser funcin del rea de Recursos Humanos comunicar las bajas del personal del S.A.S., a
travs de los registros de Mantenimiento del Sistema de Informacin, a fin de anular todos los
permisos de acceso a la informacin corporativa.
Nunca se aceptar una notificacin telefnica de baja de usuario.
2. Ser funcin del responsable del personal subcontratado comunicar las bajas de su personal
que presta servicios para el S.A.S., a travs de los registros de Mantenimiento del Sistema de
Informacin, a fin de anular todos los permisos de acceso a la informacin corporativa.
Nunca se aceptar una notificacin telefnica de baja de usuario.
3. En la solicitud de baja debern aparecer los siguientes datos:
Nombre
Primer apellido
Segundo apellido
DNI
Login
Centro de trabajo
Fecha efectiva de la baja
Dejando registro histrico de los mismos.

4. En caso de usuarios que causen bajas temporales, o personal contratado por periodos,
quedar a decisin del Administrador de Sistemas/Red/Base de Datos, dar de baja definitiva o
bloquear la cuenta hasta la nueva alta del profesional.
5. Tras una baja de un usuario se guardar en CDROM la informacin del usuario (espacio
individual en servidor y correo electrnico) a fin de liberar espacio en los sistemas. Dicho
CDROM se guardar en lugar seguro donde no pueda acceder personal no autorizado.
e. Modificacin de Permisos
1. Cualquier modificacin en los permisos de acceso de un usuario a informacin corporativa
deber ser solicitado, por el responsable correspondiente de la informacin a la que afecte, en
los registros de Mantenimiento del Sistema de Informacin.
2. En la solicitud de modificacin de permisos debern aparecer los siguientes datos:
Nombre
Primer apellido
Segundo apellido
DNI
Login
Centro de Trabajo
Aplicacin o recurso al que se requiere/deniega acceso
Fecha efectiva en la que se requiere/deniega el acceso
99

3. En el caso de que la administracin de algn recurso compartido (carpetas pblicas, carpetas
compartidas, etc.) est delegada a su correspondiente responsable funcional (Usuario
Responsable de la Aplicacin/Fichero) no har falta el registro de la incidencia
correspondiente hacindose responsable de la correcta asignacin de permisos al propio
responsable.
f. Almacenamiento de Contraseas
1. Cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un
procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad
e integridad (Artculo 11.2 RD 994/1999).
2. Las contraseas se cambiarn con la periodicidad que se determine en el documento de
seguridad y mientras estn vigentes se almacenarn de forma ininteligible (Artculo 11.3 RD
994/1999).
3. El Administrador de Sistemas/Red realizar el seguimiento y control del funcionamiento de la
administracin de contraseas del sistema.
Para las aplicaciones que se ejecutan sobre MACO (apartado b

de este anexo) el tiempo que tienen los usuarios de dichas
aplicaciones para poder cambiar la contrasea es de seis meses.
Para la aplicaciones MTI, las contraseas tiene que ser cambiada

obligatoriamente la primera vez que el usuario accede a la
aplicacin. Posteriormente, el usuario tendr que cambiar la
contrasea porque as lo requiere el sistema, cada 90 das.
Para los ficheros:

a. Correo
b. Web SAS
c. Intranet SAS
d. Central Logstica de Compras
e. Seguimiento Implantacin Terminales Atencin Especial
Las contraseas no hace falta que sean cambiadas.
Para el fichero LMEH la primera vez que entra se le dice al

usuario que cambie la contrasea, pero no es obligatorio. Cada
tres meses el usuario tiene que cambiar la contrasea.
Para las siguientes aplicaciones del proyecto RRHH:

f. Gerhonte
g. Cnp
h. Bolsa de empleo
El usuario al iniciar en la aplicacin puede cambiar la contrasea si
lo desea. Si no la cambia, esta le caducar a los tres meses. El
usuario puede cambiar la contrasea en el momento que quiera.
100
g. Auditora de Permisos de Acceso

1. El Usuario Responsable de la Aplicacin/Fichero comprobar, con una periodicidad al menos
trimestral, que la lista de usuarios autorizados de su rea o Sede se corresponde con la lista
de los usuarios realmente autorizados en la aplicacin de acceso a la informacin corporativa,
para lo que recabar la lista de usuarios y sus cdigos de acceso al administrador, notificando
toda variacin (alta/baja/modificacin) segn se determina en apartados anteriores.
2. El Responsable de Seguridad comprobar, con una periodicidad al menos trimestral, que la
lista de usuarios autorizados se corresponde con los usuarios que realmente deben estar
autorizados para el acceso a la aplicacin
101
10.
Registro de Accesos
OBJETIVO
Describe las acciones establecidas para el registro de accesos a la informacin corporativa de
obligado cumplimiento por la LOPD y aquellas necesarias para un correcto control de seguridad.
DESCRIPCIN
a. Registros normalizados
1. Existir un registro de accesos/uso para controlar los recursos de informacin corporativa.
2. El Responsable de Seguridad y el Responsable de Sistemas y Tecnologas de la Informacin
son responsables de determinar los registros de accesos que se llevarn a cabo en cada
sistema del S.A.S.
3. El Administrador de Sistemas/Red/Base de Datos designado, ser el encargado de activar el
sistema de registro de accesos.
4. El Responsable de Seguridad revisar peridicamente la informacin registrada elaborando un
informe de incidencias al menos una vez al mes (Artculo 24.5 RD 994/1999).
5. Cualquiera de los registros no podrn ser desactivados en ningn caso. (Artculo 24.3 RD
994/1999).
6. El perodo mnimo de conservacin de la informacin de los registros ser de dos aos
(Artculo 24.4 RD 994/1999).
7. Los servicios y accesos a Red Corporativa tendrn registros equivalente a los de la LSSI.
b. Relacin de Registros de Acceso

A continuacin se detallarn Aplicaciones y Servicios que estn auditados. Para cada uno de ellos
se especificar la informacin recogida.
1. El registro guardar la siguiente informacin (Artculo 24.1 RD 994/1999): de cada acceso se
guardarn, como mnimo, la identificacin del usuario, la fecha y hora en que se realiz, el
fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.
Cada una de las aplicaciones que contienen datos de carcter personal contienen en sus base
de datos procesos mediante los cuales almacenan los registros que guardan la informacin de
cada acceso que se realiza a dichas aplicaciones, guardando en cada uno de los registros la
identificacin del usuario que accedi a la base de datos, la fecha y la hora en la que accedi,
el nombre del fichero accedido, el tipo de acceso que realiz y si ha sido autorizado o
denegado dicho acceso.
102
c. Acceso a Informacin de Carcter Personal de Nivel Alto

en Base de Datos
1. El registro guardar la siguiente informacin (Artculo 24.2 RD 994/1999):
Usuario
Fecha y hora de conexin
Nombre del fichero de carcter personal al que accede
Registro accedido
Tipo de operacin realizada en el registro
2. En el caso de accesos masivos se proceder al registro de las condiciones de seleccin

ejecutadas en donde viene implcito el registro accedido y el tipo de operacin realizada. Es
decir se registrar:
Usuario
Fecha y hora
Nombre del fichero de carcter personal al que accede
Condicin de seleccin (sentencia SQL)
d. Relacin de Aplicaciones/Fichero
A continuacin se deben detallar los registros de nivel alto en cada Aplicacin o Fichero afectado
por este documento:
1. Los registros de la Aplicacin "....." guardar la siguiente informacin:
2. Los registros de la Aplicacin "....." guardar la siguiente informacin:
103
11.
Controles peridicos de verificacin del cumplimiento
1. Al margen de todas las auditoras establecidas en cada uno de los procedimientos, se realizar una
auditora al menos cada dos aos, externa o interna, que dictamine el correcto cumplimiento y la
adecuacin de las medidas del presente documento de seguridad, identificando las deficiencias y
proponiendo las medias correctoras necesarias. Los informes de auditora sern analizados por el
Responsable de Seguridad, quien propondr al Responsable del Fichero las medidas correctoras
correspondientes.
2. Los resultados de dichas auditoras sern documentados.
104
ANEXO B. DOCUMENTOS
GENERAL.
DE
NOTIFICACIN
DISPOSICIONES
DE
CARCTER
Previa notificacin a la Consejera de Salud, en el BOJA nm. 164 del 27 de agosto de 2003 se publica la
siguiente:
ORDEN de 11 de agosto de 2003, por la que se crean, modifican y suprimen ficheros automatizados de
datos de carcter personal del Servicio Andaluz de Salud
Una vez remitido el escrito a la Agencia Espaola de Proteccin de Datos se nos notifican los cdigos de
inscripcin de los ficheros:
ACCIN
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Supresin
Supresin
Supresin
Supresin
Supresin
FICHERO
FARMA
GESTIN DE PERSONAL
BASE DE DATOS DE USUARIOS-BDU
ENCUESTA DE SATISFACCIN A USUARIOS
PROGRAMA ACTA
APODERADOS
RECLAMACIONES ASESORA JURDICA
CONTABILIDAD
ACTIVIDAD CONTENCIOSA DEL ORGANISMO
USUARIOS DE SISTEMA DE INFORMACIN
PATOLOGAS DE ATENCIN URGENTE
PLAN DE VACUNACIN DE ANDALUCA
LIBRE ELECCIN DE MDICO Y HOSPITAL
DE PARTOS Y RECIN NACIDOS
GESTIN PRESTACIONES FARMACUTICAS
C.M.B.D.
INSUFICIENCIA RENAL CRNICA (PACIENTES)
METABOLOPATAS
HISTORIAS CLNICAS CENTROS DE SALUD
USUARIOS DEL SISTEMA SANIT. CENTROS HOSPITALARIOS
HISTORIAS CLNICAS CENTROS HOSPITALARIOS
SISMA
REGISTRO DE PERSONAL. DICCIONARIO RETRIBUCIONES.
GESTALON
CITA PREVIA EN CENTROS ESPECIALIZADOS PERIFRICOS
REGISTRO DE TRANSPLANTE DE MDULA SEA
USUARIOS DEL SISTEMA SANITARIO CENTROS DE SALUD
CDIGO AEPD
2041800101
2041800102
2041800103
2041800104
2041800105
2041800106
2041800107
2041800108
2041800109
2041800111
2041800112
2041800113
2041800114
1970630004
1970630007
1970630008
1970630009
1970630011
1970630015
1970630016
1970630017
1970630019
1970630005
1970630006
1970630010
1970630012
1970630014
105
ANEXO C. PLAN DE EMERGENCIA Y EVACUACIN

Manual de Autoproteccin para el desarrollo del plan de emergencia contra incendios y de evacuacin en
locales y edificios aprobado por O.M. de 29/11/84, NBE-CPI 96 (RD 2177/96)
Se detallan a continuacin las medidas de seguridad relativas a los centros donde se alberga la
informacin corporativa del S.A.S.
En l se incluir:
Plan de emergencias del centro
Plan de sealizacin y evacuacin
Personas y telfonos de contacto en el plan de emergencias
106
ANEXO D. SISTEMAS DE INFORMACIN DEL FICHERO.

Se detalla a continuacin la descripcin del los Sistemas de Informacin donde se aplica el Fichero, as
como los componentes Software y Hardware implicados.
Descripcin detallada de la estructura del Fichero o la Base de Datos

La descripcin contendr al menos los siguientes aspectos:
Ubicacin fsica del Fichero, tipo de soporte, servidor, nombre del rea o directorio etc.
Descripcin lgica, archivos o tablas, registros o tuplas, campos o columnas, as como el formato,
descripcin y relaciones entre los mismos.
Si se realizan pruebas con datos reales, se relacionaran estos ficheros de prueba, indicando el nombre y
descripcin de los mismos y procedimiento previsto para el borrado fsico de estos datos.
Gestor de base de datos.
Descripcin del sistema informtico de acceso al fichero
El sistema informtico o aplicacin de acceso al fichero es el conjunto de programas, especficamente
diseados para el caso o de propsito general, con los que normalmente se accede para consultar o
actualizar los datos del Fichero.
La descripcin deber al menos contener los siguientes datos:
Nombre de la aplicacin
Si se trata de un paquete o producto estndar del mercado o de unos programas expresamente
diseados para ese propsito.
Quin y en que fecha se program.
Responsables del mantenimiento.
Entorno de Sistema Operativo y de Comunicaciones del Fichero

(a ser cumplimentado por el administrador del sistema)
Deber contener al menos los siguientes datos y aspectos:
Sistema operativo
Nombre y versin
Fabricante
Caractersticas generales (monopuesto, multiusuario, comparticin de ficheros u otros recursos, etc..)
Control de acceso, caractersticas
Archivos de logging y procedimientos de recuperacin propios del sistema.
Responsables del mantenimiento
Entorno de comunicaciones (si lo tuviese)

Tipo de red local (Ethernet, otras), mbito y extensin.
Si existe conexin con otras redes locales o WAN, indicar el tipo de conexin (permanente, espordica,
etc.), a travs de redes pblicas como Internet o con conexiones privadas etc..
107

Hay comparticin de recursos y archivos ?. Si es as indicar que tipo de sistema de red se ha utilizado,
sus lmites y alcance.
Controles de acceso desde la red al sistema del Fichero.
Descripcin de los Sistemas de Informacin del S.A.S
Los diferentes sistemas de informacin que componen DIRAYA, se encuentran diferenciados en tres
bloques. Los diferentes bloques con las aplicaciones que los componen se detallan a continuacin:
a) Bloque de Centralizada
Las BBDD de estos ficheros estn ubicados fisicamente en el CTI del SAS. Se encuentran almacenados
en dos servidores de Sun Microsystem 15k. Cada uno de estos servidores tiene cinco dominios,
simulando cada uno de ellos una maquina virtual.
El gestor de base de datos de dichas aplicaciones es Oracle 9i.
El sistema operativo que utilizan los 15k es Solaris versin 9.
Citaweb
Derivaciones
Pruebas Funcionales
Pruebas Diagnsticas por Imagen
Buzn
Maco
Estructura
Web Services
Gestor de Impresin
Historia nica
Vacunas
Historia Salud
Sirega
Dibaco
Diraya Informa
Visados
Receta XXI
108
b) Bloque de Primaria
Las BBDD de estos ficheros estn ubicados fisicamente en el CTI del SAS. Se encuentran almacenados
en cuatro servidores, (conectados dos a dos en un cluster, de los cules dos estn conectados en Sevilla
y los otros dos en Mlaga) de Fujitsu, los Prime Power.
El gestor de base de datos de dichas aplicaciones es Oracle 9i.
El sistema operativo que utilizan los 15k es Solaris versin 9.
CAP
URG
CCAP
CURG
c) Bloque de Especializada
Las BBDD de estos ficheros estn ubicados fisicamente en cada uno de los hospitales, en servidores,
cuyas caractersticas son:
CAE
CCAE
URG
CURG
109
ANEXO E. REFERENCIAS LEGALES

En el presente Anexo se relacionan las Leyes, Reales Decretos, Sentencias del Tribunal Constitucional,
Instrucciones de la Agencia de Proteccin de Datos y cuantas normas se publiquen para el desarrollo de
todos los aspectos contemplados en la Ley Orgnica 15/1999 (LOPD), de 13 de diciembre, de Proteccin
de Datos de Carcter Personal.
En la actualidad todo el proceso normativo se encuentra en sus inicios, por lo que en los prximos aos
se desarrollarn, con normas de diferentes rangos, los aspectos de la LOPD anteriormente citados.
La publicacin de las diferentes normas, en el futuro, podr dar lugar a modificaciones en el presente
Manual.
RELATIVA A LA PROTECCIN DE DATOS DE CARCTER PERSONAL
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.
Sentencia del Tribunal Constitucional 292/2000, de 30 de noviembre, que declara la

inconstitucionalidad de algunos incisos correspondientes a los apartados del artculo 21.1 y 24.1
de la LOPD.
Real Decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de Medidas de

Seguridad de los ficheros automatizados que contengan datos de carcter personal.
Real Decreto 428/1993, de 26 de marzo, por el que se aprueba el Estatuto de la Agencia de

Proteccin de Datos.
Real Decreto 156/1996, de 2 de febrero, por el que se modifica el Estatuto de la Agencia de

Proteccin de Datos, aprobado por Real Decreto 428/1993, de 26 de marzo, para designar a la
Agencia de Proteccin de Datos como representante espaol en el grupo de proteccin de
personas previsto en la Directiva 95/46/CE de 24 de octubre.
Real Decreto 1332/1994, de 20 de junio, por el que se desarrollan determinados aspectos de la

Ley Orgnica 5/1992, de 29 de octubre, de regulacin del tratamiento automatizado de los datos
de carcter personal.
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a
la Proteccin de las personas fsicas en lo que respecta al Tratamiento de Datos Personales y a
la libre circulacin de estos datos.
Instruccin 1/1996, de 1 de marzo, de la Agencia de Proteccin de Datos, sobre ficheros

automatizados establecidos con la finalidad de controlar el acceso a los edificios.
Instruccin 1/1998, de 19 de Enero, de La Agencia de Proteccin de Datos, relativa al Ejercicio

de los Derechos de Acceso, Rectificacin y Cancelacin.
Instruccin 1/2000, de 1 de diciembre, de la Agencia de Proteccin de Datos, relativa a las

normas por las que se rigen los movimientos internacionales de datos.
RESOLUCION de 27 de septiembre de 2004, de la Secretara General para la Administracin

Pblica, por la que se establece el manual de comportamiento de los empleados pblicos en el
uso de los sistemas informticos y redes de comunicaciones de la Administracin de la Junta de
Andaluca.
110
RELATIVO A LA LEGISLACIN SOBRE LA SALUD
Ley 41/2002, de 14 de noviembre, bsica reguladora de la autonoma del paciente y derechos y

obligaciones en materia de informacin y documentacin clnica.
Ley Orgnica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Seguridad Pblica.
Ley 14/1986, de 25 de abril, General de Sanidad.
Ley 2/1998, de 15 de junio, de Salud de Andaluca.
Ley 8/1986, de 6 de mayo, de creacin del Servicio Andaluz de Salud (en los aspectos vigentes).
Ley 2/1994, de 24 de marzo, de creacin de la Empresa Pblica de Emergencias Sanitarias de

Andaluca.
Decreto 88/1994, de 19 de abril. Empresa Pblica de Emergencias Sanitarias. Estatutos.
111
ANEXO F BOJA NM. 200 DEL 13 DE OCTUBRE DE 2004

Con la extensin de las nuevas tecnologas en la Administracin de la Junta de Andaluca, se ha
puesto a disposicin de sus trabajadores una serie de recursos informticos, cuyo uso ha de ser
realizado de forma ordenada y enfocado al desempeo de su actividad laboral. Por ello, es
necesario poner en conocimiento de los empleados pblicos cul es el modo correcto de
utilizacin de las nuevas tecnologas en el mbito de la Junta de Andaluca, con el fin de que
obtengan un uso ms eficiente de las mismas en el desarrollo de sus tareas, lo que repercutir
positivamente en la gestin administrativa y en los servicios prestados al ciudadano, adems de
prevenir las prcticas abusivas que de una utilizacin particular de los medios informticos
pblicos se pudieran producir, y sobre todo de aqullas que puedan poner en riesgo la seguridad
de los sistemas informticos.
Considerando, igualmente, que se ha de garantizar la legalidad, eficacia y eficiencia de la
utilizacin de los sistemas de informacin y la fluidez de las comunicaciones informticas, internas
y externas en la Administracin de la Junta de Andaluca, as como la proteccin de las bases de
datos que contengan datos personales de las ciudadanas y ciudadanos, para la gestin de los
distintos procedimientos administrativos, y aquellos otros archivos sensibles para el
funcionamiento de la Administracin Andaluza, resulta necesario establecer las pautas de
comportamiento de utilizacin de los sistemas y equipos informticos por los empleados pblicos.
Finalmente, tambin se ha de asegurar que el uso de los distintos programas informticos se haga
respetando las condiciones establecidas en sus licencias de uso, garantizando de esta manera los
derechos de los proveedores que participan en el desarrollo informtico de la Junta de Andaluca.
En virtud de las competencias atribuidas en el artculo7 del Decreto 200/2004, de 11 de mayo, por
el que se establece la Estructura Orgnica de la Consejera de Justicia y Administracin Pblica,
se aprueban las instrucciones contenidas en el Manual para usuarios de los sistemas informticos
y redes de comunicaciones de la Administracin de la Junta de Andaluca que se adjunta como
Anexo a la presente Resolucin.
Sevilla, 27 de septiembre de 2004.-El Secretario General para la Administracin Pblica, Pedro
Jos Prez Gonzlez-Toruo.
ANEXO
MANUAL DE COMPORTAMIENTO DE LOS EMPLEADOS PUBLICOS EN EL USO DE LOS
SISTEMAS INFORMATICOS Y REDES DE COMUNICACIONES DE LA ADMINISTRACION DE
LA JUNTA DE ANDALUCIA.
1. Objeto.
1.1. Facilitar el mximo aprovechamiento de los medios informticos en la actuacin de la
Administracin de la Junta de Andaluca.
1.2. Asegurar la proteccin de los derechos de los ciudadanos en sus relaciones con la
Administracin, de las personas que tienen acceso a los recursos informticos y de la propia Junta
de Andaluca.
1.3. Mejorar los servicios que la Administracin de la Junta de Andaluca presta a los
ciudadanos, propiciando una gestin eficiente de los procesos incluidos en sus sistemas de
informacin y redes de comunicaciones con las que opera.
1.4. Prevenir a los sistemas de informacin y a los datos a ellos incorporados de los
riesgos o daos que puedan deberse a la accin humana, referente a conductas incorrectas o
inadecuadas.
112
2.Definiciones.
A los efectos del presente Manual se entender por:
2.1. Administracin de la Junta de Andaluca. Todos los servicios dependientes de la
Administracin de la Junta de Andalucay de sus Organismos Autnomos. Asimismo, se
consideran incluidas las empresas y otras entidades contempladas en los artculos 6 y 6 bis de la
Ley 5/1983, de 19 de julio, General de la Hacienda Pblica de la Comunidad Autnoma de
Andaluca, cuando utilicen sistemas de informacin y/o redes de comunicacin propiedado bajo
supervisin de la Administracin de la Junta de Andaluca, como quedan definidas en este punto.
2.2. Redes de comunicacin. Infraestructura de telecomunicacin accesible por los
usuarios, tanto de accesoa red interna o intranet como de accesoa red externa o extranet, correo
electrnicoo e-mail o cualquier otro instrumento de transmisin telemtica o acceso a la
informacin, mediante la conexin de medios informticos, que sean propiedad o estn bajo
supervisin de la Administracin de la Junta de Andaluca.
2.3. Usuarios. Ser toda persona fsica que tenga autorizado el acceso a los sistemas de
informacin o redes de comunicaciones de la Administracin de la Junta de Andaluca.
2.4. Recursos informticos. Todos los medios de cualquier naturaleza, fsicos, lgicoso
humanos, que intervienen en los sistemas de informaciny en las redes de comunicaciones.
2.5. Aplicacin informtica. Programa o conjunto de programas informticos que tienen por
objeto el tratamiento electrnico de la informacin.
3. Ambito de aplicacin.
3.1. Las reglas que comprenden este Manual sern de aplicacina todas los usuarios,
cualquiera que sea el nivel o funcin que ejerza.
3.2. Las reglas que comprenden este Manual sern de aplicacin para todo uso de los
sistemas de informacin y redes de comunicacin de la Administracin de la Junta de Andaluca.
4. Utilizacin de los equipos informticos.
4.1. La Administracin de la Junta de Andaluca ser quin ponga a disposicin de los
usuarios los medios y equipos informticos para el cumplimiento de sus obligaciones laborales. En
consecuencia, dichos equipos informticos no estn destinados al uso personal o extraprofesional
de los usuarios, por tanto, stos deben conocer que no gozan del uso privativo de los mismos.
4.2. Los usuarios debern destinar los equipos informticos de que sean provedos,a usos
compatibles con la finalidad de las funciones del servicio al que se encuentren adscritos y que
correspondan a su trabajo.
4.3. Los usuarios debern cuidar los equipos informticos que les sean facilitados, no
procediendo a alterarlos o modificarlos.
4.4. Los usuarios no tienen permitido conectar a los equipos informticos que se les
provea, otros equipos distintos de los que tengan instalados.
113

4.5. Los usuarios en ningn caso podrn acceder fsicamente al interior de los PCs que
tengan asignados para el ejercicio de sus funciones, slo personal autorizado podr realizarlo para
labores de reparacin, instalacin o mantenimiento.
4.6. Los usuarios slo podrn usar equipos que estn directamente especificados por la
4.7. Los usuarios debern abstenerse de manipular los mecanismos de seguridad
instalados en los PCs.
5. Utilizacin de las aplicaciones informticas.
5.1. Los usuarios deben hacer uso exclusivamente de las aplicaciones informticas o
versiones de software instalados en sus equipos por la Administracin de la Junta de Andaluca.
Adems, estn obligados a seguir las instrucciones o normas que la misma establezca para su
empleo. En todo caso, la utilizacin de las aplicaciones informticas tiene una finalidad profesional,
es decir, destinadas a satisfacer las obligaciones laborales y con el propsito para el que fueron
diseadas e implantadas, por lo que no son idneas para un uso personal o privado.
5.2. La Administracin de la Junta de Andaluca ser la responsable de configurar el
sistema operativo, definir las aplicaciones informticas de uso estandarizado y proceder a su
instalacin o desinstalacin. Slo tras autorizacin expresa, dada las caractersticas o naturaleza
de las aplicaciones informticas, podrn los usuarios efectuar directamente su instalacin.
5.3. Los usuarios en ningn caso podrn borrar o desinstalar las aplicaciones informticas
legalmente instaladas por la Administracin de la Junta de Andaluca.
5.4. Los usuarios se limitarna ejecutar las aplicaciones informticas para las que estn
autorizados, que les sern facilitadas por la Administracin de la Junta de Andaluca.
5.5. Queda prohibido expresamente la instalacin de aplicaciones informticas sin la
correspondiente licencia o no adecundose a la legislacin vigente.
5.6. Las aplicaciones informticas estn protegidas por la propiedad intelectual, por lo
tanto, queda terminantemente prohibido el uso, reproduccin, modificacin, transformacin, cesin
o comunicacin sin la debida autorizacin, con finalidad externa a la propia de la Administracin de
la Junta de Andaluca.
5.7. Queda prohibida cualquier actuacin que pueda tener consideracin de provocadora o
intimidatoria en el trabajo, de tal manera, que debe excluirse la instalacin o visualizacin de
salvapantallas, fotos, vdeos, comunicaciones u otros medios con contenidos ofensivos, violentos,
amenazadores, obscenos o, en general, aquellos que agredan la dignidad de la persona.
5.8. Los usuarios estn obligados a cumplir las medidas de seguridad diseadas por la
Administracin de la Junta de Andaluca, as como las prevenciones que al efecto se establezcan.
Por tanto, no podrn desactivar los programas antivirus ni sus actualizaciones. Tampoco podrn
introducir voluntariamente programas, virus, macros o cualquier otro dispositivo lgico o secuencia
de caracteres, que causen o sean susceptibles de causar alteracin o dao en los recursos
informticos de la Administracin de la Junta de Andaluca o en los de terceros.
5.9. Los usuarios estn obligados a utilizar exclusivamente los programas antivirusy sus
respectivas actualizaciones u otros sistemas de seguridad, destinados a la prevencin de la
entrada en los Sistemas de Informacin de cualquier elemento destinado a alterar o daar los
recursos informticos, que sean instalados por la Administracin de la Junta de Andaluca.
114
6. Utilizacin de la informacin incorporadaa los sistemas.

6.1. Toda la informacin albergada en los servidores de la Administracin de la Junta de
Andaluca,o que circule a travs de su red mediante elementos de comunicacin o transmisin,
que sean de su propiedad o le hayan sido confiada, tiene carcter confidencial.
6.2. Los usuarios estn obligados a proteger la informacin, evitando el envo no
autorizado al exterior, incluyendo esta nocin tanto el acceso como la visualizacin de la misma.
Una especial consideracin de confidencialidad corresponde a ficheros o informacin que
contenga datos de carcter personal.
6.3. El conocimiento por los usuarios de la informacin reseada en el punto 6.1, no
confiere derecho alguno en cuanto a posesin, titularidad o derecho de copia de la misma, por lo
que su uso debe ser estrictamente oficial y profesional.
6.4. Los usuarios con acceso a informacin y datos deben usarlos nicamente para las
operaciones para las que fueron generados e incorporados, sin destinarlos a otros fines o incurrir
en actividades que puedan considerarse ilcitas o ilegales. Asimismo, slo deben accedera
aquellos datos y recursos que precisen para el ejercicio de las funciones que les correspondan, y
efectuar slo los tratamientos que sean precisos para el cumplimiento de los fines del servicio al
que estn adscritos. Para ello, se dispondr de perfiles de acceso y una segmentacin
conveniente, tanto de los usuarios como de las necesidades de informacin.
6.5. Los usuarios estn obligados a proteger la informaciny los datos a los que tienen
acceso. Esta proteccin debe prevenir el empleo de operaciones que puedan producir una
alteracin indebida, inutilizacin o destruccin, robo o uso no autorizado, en definitiva, cualquier
forma que pueda daar los datos, aplicaciones informticas y documentos electrnicos propios de
la Administracin de la Junta de Andaluca.
6.6. Los usuarios, conforme a las instrucciones que reciban, utilizarn los medios o
programas de salvaguarda que les facilite la Administracin de la Junta de Andaluca, con la
finalidad de garantizar la integridad y seguridad de los equipos informticos, de las aplicaciones
informticas y de la informacin que contengan. En cualquier caso, no intentarn descifrar claves,
sistemas o algoritmos de cifrado y cualquier otro elemento de seguridad que intervengan en los
procesos telemticos.
6.7. Los usuarios estn obligados a notificar cualquier incidenciao anomala en el uso de
los medios informticos que detecten: prdida de informacin, de listados o de disquetes, acceso
no autorizado, uso de su identificador de usuario o de su contrasea, introduccin de virus,
recuperacin de datos, desaparicin de soportes informticos y, en general, toda situacin que
pueda comprometer el buen uso y funcionamiento de los sistemas de informacin.
6.8. Cualquier fichero que se introduzca en la red corporativa o en el puesto de trabajo del
usuario a travs de soporte automatizados, internet, correo electrnico o cualquier otro medio,
deber cumplir los requisitos establecidos en estas normas y, en especial, las referidas a la
propiedad intelectual, el control antivirus y la proteccin de datos de carcter personal.
6.9. En aquellos casos en que sea posible se evitar la ubicacin de ficheros que
contengan datos de carcter personal en los PCs de usuarios.
6.10. Los usuarios slo podrn crear ficheros temporales que contengan datos de carcter
personal, cuando sean necesarios para el desempeo de sus funciones, en todo caso, debern
ser eliminados cuando hayan dejado de ser tiles para la finalidad para la que fueron creados.
6.11. Toda salida de informacin que contenga datos de carcter personal, sea en:
soportes informticos, correo electrnico, porttiles, etc., slo podr realizarse por personal
115

autorizado formalmente por el responsable del fichero, siempre cumpliendo la normativa vigente
que garantiza los niveles de proteccin. Existir un registro donde quede anotado las salidas y
entradas de estos soportes.
6.12. Los usuarios autorizados a manejar soportes que contengan datos de carcter
personal deben guardarlos en lugar seguro, especialmente finalizada la jornada laboral. En todo
caso, una vez concluida la finalidad de las tareas a las que estaban destinados estarn obligados
a su devolucin inmediata.
6.13. Si un usuario finaliza su relacin funcionarial o laboral, con la Administracin de la
Junta de Andaluca o se traslada de puesto de trabajo, deber dejar sin perjudicar todas las
aplicaciones informticas, ficheros, informacin, datos y documentos electrnicos que haya
utilizado en su actividad profesional.
6.14. Finalizada la relacin funcionarial o laboral del usuario con la Administracin de la
Junta de Andaluca, dejar de tener acceso a los equipos informticos y a la informacin
incorporada a los mismos, debiendo devolver aquellos que se encuentren en su posesin. Seguir
obligado a mantener la mxima reserva y confidencialidad, no slo de la informacin y
documentos, sino tambin de las claves, anlisis y aplicaciones informticas.
6.15. Se dar a conocera los usuarios los Documentos de Seguridad e instrucciones que
fijen las normas de seguridad fsicas y lgicas, donde se recojan las funciones y obligaciones de
aquellos que tengan acceso a datos de carcter personal y, en todo caso, las consecuencias que
conllevan su incumplimiento.
7. Acceso a la informacin.
7.1. Todo usuario con acceso a un sistema de informacin dispondr de una nica
autorizacin de acceso, personal e intransferible, compuesta al menos de identificador de usuario
y contrasea. Estos permitirn una identificacin individual, evitndose registros duplicados o
mltiples.
7.2. Los usuarios deben custodiar convenientemente su identificador de usuario y/o
contrasea, sin proceder a su revelacin o puesta al alcance de terceros. Sern responsables de
toda la actividad relacionada con el uso de su acceso personal autorizado.
7.3. Las contraseas tendrn plazo de vigencia, los usuarios procedern, siguiendo las
instrucciones del responsable del sistema, a cambiarlas antes de cumplirse el mismo. Si
transcurrido dicho plazo no se hubiesen cambiado caducarn denegndose el acceso, de oficio
sern modificada, comunicndose la nueva posteriormente al usuario. El plazo de vigencia en
ningn caso podr ser superiora los 9 meses.
7.4. Si los usuarios sospechan que su acceso autorizado (identificador de usuario y/o
contrasea) est siendo utilizado por otra persona, deber proceder inmediatamente al cambio de
contrasea y notificar la correspondiente incidencia.
7.5. Los usuarios no deben intentar obtener otros derechos de acceso al suyo personal, ni
utilizar ningn otro acceso autorizado que correspondaa otro usuario, aunque disponga de la
autorizacin de ste, salvo en los supuestos permitidos por la Ley o conforme a las instrucciones
que imparta la Administracin de la Junta de Andaluca.
8. Acceso a las redes de comunicacin.
8.1. La conexin de los usuarios a las redes de comunicacin ser facilitada por la
116
8.2. Queda prohibido conectarse a la red corporativa de comunicaciones por otros medios
distintosa los definidos y administrados por la Administracin de la Junta de Andaluca.
8.3. Queda prohibido conectarse a la red corporativa de comunicaciones con cualquier
equipo informtico distinto a los instalados para tal fin por la Administracin de la Junta de
Andaluca. El personal externo que deba conectarse a los entornos corporativos desde sus
equipos requerir la autorizacin y, en su caso, la supervisin del responsable de los sistemas de
informacin pertinente.
8.4. Los usuarios tienen prohibido intentar obtener otros derechos o acceso distintos a los
que tienen asignados. Asimismo, no deben intentar distorsionar o falsear los registros logs de
los sistemas de informacin.
9. Acceso a internet.
9.1. El acceso a internet por los usuarios se realizar nicamente empleando los medios y
a travs de la red establecida a estos efectos por la Administracin de la Junta de Andaluca. Por
lo que no est permitido su acceso llamando directamente a un proveedor de servicio de acceso y
usando un navegador, o con otras herramientas de internet conectndose mediante un mdem.
9.2. Las conexiones a internet que se produzcan a travs de la red corporativa tendrn
una finalidad profesional. En este sentido, cada usuario autorizado emplear estas conexiones
exclusivamente para el ejercicio de las tareas y actividades que corresponden a las funciones de
su puesto de trabajo.
9.3. No deber accederse en ningn caso a direcciones de internet que tengan un
contenido ofensivo o atentatorio de la dignidad humana.A estos efectos,la Administracin de la
Junta de Andaluca podr restringir el acceso a determinados servidores de contenidos en internet.
9.4. Las autorizaciones de acceso a internet se concedern acordes con las funciones del
puesto que desempee el usuario, producindose una segmentacin de perfiles que habilite las
conexiones.
9.5. La Administracin de la Junta de Andaluca regular y controlar los accesos a
internet. Se podr proceder a monitorizar las direcciones de acceso y el tiempo de conexin de los
usuarios a internet, as como la limitacin de su uso en razn de las funciones que ejerza, por
motivos de seguridad o rendimiento de la red.
9.6. La Administracin de la Junta de Andaluca registrar todos los accesos a servidores
de la red, incluyendo al menos la informacin de: direcciones de pginas visitadas, fecha y hora,
ficheros descargados, usuario y puesto desde el que se ha efectuado la conexin.
9.7. Queda terminantemente prohibida la instalacin de proxys por los usuarios.
9.8. Las transferencias de datos desde o a internet se realizarn exclusivamente cuando lo
exija el ejercicio de las funciones del puesto de trabajo. En todo caso, los usuarios debern tener
en cuenta, antes de utilizar la informacin proveniente de la red, si dicho uso es conforme a las
normas que protegen la propiedad intelectual e industrial.
10. Correo electrnico.
10.1. La Administracin de la Junta de Andaluca suministrar a cada usuario una
direccin individual de correo electrnico, procedindole a instalar y configurar una cuenta de
correo. El acceso a dicha cuenta de correo se efectuar mediante una clave personal.
117
10.2. Los usuarios tienen prohibido terminantemente el uso en las redes de comunicacin
de otras cuentas de correo electrnico distintas a las facilitadas por la Administracin de la Junta
de Andaluca.
10.3. El uso por los usuarios del correo electrnico habilitado por la Administracin de la
Junta de Andaluca es estrictamente profesional, es decir, para el ejercicio de las funciones que
corresponde al puesto de trabajo que desempee.
10.4. Los usuarios tienen prohibido expresamente el acceso a cuentas de correos que no
le hayan sido asignadas. Para que un usuario distinto pueda acceder a una cuenta de correo ser
preciso que el titular de sta lo autorice por escrito, salvo los supuestos de cuentas de correo
asociadas a puestos singulares.
10.5. Los usuarios no pueden interceptar, leer, borrar, copiar o modificar el correo
electrnico dirigido a otros usuarios.
10.6. Queda prohibido para todos los usuarios el uso abusivo del correo electrnico,
utilizando mensajes con contenidos ofensivos o atentatorios a la dignidad humana. Asimismo,
queda prohibido el envo deliberado de cualquier clase de programa o virus que puedan causar
perjuicios en los sistemas de informacin de la Administracin de la Junta de Andaluca o a
terceros.
10.7. Los usuarios tienen prohibido el uso abusivo del sistema de listas de correos para el
envo de mensajes de forma masiva o piramidal.
10.8. Con la finalizacin de la relacin funcionarial o laboral se interrumpir el acceso a la
cuenta de correo del usuario.
11. Del personal con responsabilidades en los sistemas de informacin.
Se encontrarn exceptuados de aplicar las instrucciones precedentes que interfieran en su
cometido aquellas personas adscritas a puestos de trabajo que tienen funciones de diseo,
desarrollo, operacin o administracin de los sistemas de informacin y de las redes de
comunicacin. Slo se entendern autorizados para el ejercicio de tales funciones cuando sigan
estrictamente las directrices de los responsables de la Administracin de la Junta de Andaluca.
Adems, debern tener especial consideracin con:
11.1. No acceder a la informacin o datos aprovechando sus privilegios de administracin.
Slo podrn acceder previa autorizacin del responsable del fichero para el ejercicio de las
funciones que le corresponda.
11.2. Custodiar con especial cuidado identificadores y contraseas que den acceso a los
sistemas con privilegio de administrador.
11.3. Procurar que la informacin almacenada y tratada por los sistemas de informacin
sea salvaguardada mediante copias de seguridad y para la recuperacin de datos peridicamente,
al menos con carcter semanal, salvo que en dicho perodo no se haya producido actualizacin de
los datos.
11.4. Que los soportes informticos que contengan datos de carcter personal estn
convenientemente registrados en un inventario actualizado, donde figure el tipo de informacin
que contienen y las personas autorizadas a su manejo. Que se cumpla escrupulosamente el
control de acceso restringido a personal autorizado en los locales, edificios o recintos en que se
118

encuentren los sistemas de almacenamiento y servidores con informacin confidencial o con datos
de carcter personal.
11.5. Notificar cualquier violacin de las normas de seguridad o de vulnerabilidad de los
sistemas de informacin que detecten, no revelando en ningn caso a terceros estas debilidades,
excepto a la persona autorizada que reciba en el encargo de realizar los trabajos para su
correccin.
12. El uso de certificados digitales.
Se recomienda, para garantizar la validez y eficacia de la emisin y recepcin de comunicaciones
y documentos producidos telemticamente, el uso de la firma electrnica.
13. La comprobacin de los sistemas de informacin y de las redes de comunicacin.
La Administracin de la Junta de Andaluca, mediante los mecanismos formales y tcnicos que
considere oportunos, podr comprobar, de forma peridica o cuando resulte conveniente por
razones especficas de seguridad o del servicio, la correcta utilizacin de todos los sistemas de
informacin y redes de comunicacin.
14. Las exigencias de responsabilidades.
La Administracin de la Junta de Andaluca cuando detectare en el uso de los medios informticos
actuaciones irregulares, ilcitas o ilegales, proceder al ejercicio de las acciones pertinentes para
las exigencias de las responsabilidades legales que correspondan.
15. Sobre el conocimiento de las instrucciones.
Todos los usuarios de los sistemas de informaciny redes de comunicaciones que sean propiedad
o estn bajo la supervisin de la Administracin de la Junta de Andaluca estn obligados al
conocimiento y cumplimiento de las presentes instrucciones.
119
ANEXO G PROCEDIMIENTO DE EMERGENCIA Y REQUISITOS FUNCIONALES

DEL MDULO NECESARIO PARA LA GESTIN DE OPERADORES (ALTA DE
OPERADORES Y RESTABLECIMIENTO DE CONTRASEAS DE DIRAYA) A
TRAVS DE LA FIGURA DEL TERCERO DE CONFIANZA Y DE LA
PROPIA APLICACIN DIRAYA
Introduccin
En este documento se recoge el procedimiento especial de gestin de usuarios del Sistema de
Informacin Diraya, en sus diferentes mdulos, que seguir CEGES en el caso de no ser
posible completar el procedimiento habitual a travs de los Administradores Delegados.
Es estos casos el operador de CEGES actuar como Administrador Delegado con Restricciones.
Se contemplan dos situaciones:
1.- El usuario no puede contactar o no puede realizar la gestin con el Administrado
Delegado, al que inicialmente se le dirigir desde CEGES. Previsiblemente esta situacin
se producir en horario especial (noches, festivos y fines de semana) y ante la
indisponibilidad del Administrador Delegado.
2.- El Administrador Delegado sufre alguna incidencia tcnica que le impide realizar la gestin
y lo solicita a CEGES.
La ejecucin de este procedimiento especial de alta o restablecimiento/desbloqueo de contraseas
en el Mdulo de Acceso Centralizado de Operadores (en adelante MACO) para Diraya requerir
de:
1.- La intervencin de un tercero de confianza en el propio centro de salud, con acceso
a la aplicacin Diraya; es decir, ya registrado en el sistema por el procedimiento habitual,
que actuar como intermediario a la hora de responder ante el sistema de la identidad del
solicitante y a la hora de comunicarle los datos temporales de acceso.
2.- La utilizacin de una nueva opcin de mantenimiento de usuarios dentro de Diraya
que permita utilizar esta va como medio seguro de registrar la peticin de
alta/restablecimiento/desbloqueo de operador y de comunicar los datos de acceso
(usuario y contrasea).
3.- El registro por parte del operador de CEGES que acta como Administrador
Delegado temporal, de todas las actuaciones realizadas en la base de datos de
incidencias de CEGES, debiendo quedar reflejado al menos:
La peticin expresa por parte del usuario/operador final a travs llamada de telfono
o correo electrnico corporativo a CEGES y los datos proporcionados por este del
profesional del centro, ya con acceso a Diraya, que actuar como tercero de
confianza.
El contacto desde CEGES con el tercero de confianza a travs del telfono para
comunicarle que le ha habilitado temporalmente el acceso a la opcin de
mantenimiento de contraseas de Diraya e informarle del procedimiento a seguir.
120
La habilitacin por parte de CEGES de usuario y contrasea tras la recepcin de

peticin a travs de la nueva opcin de mantenimiento de contraseas de Diraya
que realiza el tercero de confianza en nombre del usuario/operador final afectado.
El contacto final que debe realizase desde CEGES con el usuario/operador final
afectado confirmando que el tercero de confianza le ha proporcionado los datos de
acceso. Desde CEGES se le informar que el sistema le obligar a cambiar la
contrasea en el primer acceso y que su vigencia es de 72 horas.
La comunicacin a travs de correo electrnico que CEGES debe realizar al

Administrador Delegado de la zona, para que este proceda a ratificar o anular el
acceso.
El mbito tcnico de ejecucin de este procedimiento ser el de Aplicaciones Diraya en

Produccin a travs del MACO y de la opcin de mantenimiento de contraseas, no
contemplndose por el momento su aplicacin en los entornos de Pre-produccin o Formacin.
Dados los requisitos tcnicos de la plataforma Diraya que requiere que el usuario/operador final
tenga tambin permisos de acceso en el Dominio Windows 2000 Citrix, CEGES deber tambin
disponer de los privilegios suficientes en este dominio.
En la siguiente tabla se refleja el mbito tcnico de ejecucin del presente procedimiento especial.
Perfil
Administrador Delegado
CEGES (procedimiento
especial)
Diraya Produccin
MACO
W2K-Citrix
SI
SI
Diraya Formacin
MACO
W2K-Citrix
NO
NO
Diraya Pre-produccin
MACO
W2K-Citrix
NO
NO
As mismo este documento recoge los requisitos funcionales del la opcin de mantenimiento de
contraseas a incorporar a Diraya y sobre la que se basa el procedimiento.
Para este caso, el procedimiento consistir en la solicitud de alta o desbloqueo para un operador
sin acceso, por parte un operador con usuario activo en alguno de los mdulos Diraya y que en el
momento de la solicitud se encuentre en el mismo centro donde est la persona que necesita
acceder al sistema. Para ello el operador en el que se confa, denominado Tercero, deber
identificarse en un mdulo diseado para tal fin, mediante el cual tendr acceso a un formulario
que deber cumplimentar. Este procedimiento ser aplicable nicamente para alta de operadores
o restablecimiento de contraseas en el entorno de produccin, en los casos en los que no ha sido
posible contactar con el Administrador Delegado, o bien este Administrador Delegado no puede
acceder a MACO por alguna imposibilidad tcnica. Para el resto de entornos (Formacin y
Preproduccin) no ser aplicable este procedimiento.
Caractersticas del mdulo a desarrollar

Los pasos recogidos en el procedimiento especial de alta de operador o restablecimiento de
contrasea a travs del tercero de confianza requerir las siguientes funcionalidades de la
opcin de mantenimiento de contraseas a implementar.
121
a) Opcin/ventana para habilitar/deshabilitar el acceso al mdulo de

mantenimiento de contraseas para el operador identificado como
Tercero de Confianza.
Este apartado del mdulo solo ser accesible por los Administradores y Administradores
Delegados de Emergencia, que sern los que realicen el alta efectiva en la aplicacin MACO tras
recibir la solicitud a travs de Diraya del operador que realiza las funciones de Tercero de
Confianza. Consistir en una ventana de bsqueda, mediante la cual se podr identificar al
operador denominado Tercero de Confianza, y una vez localizado se le podr activar el campo
que le permitir acceder al formulario de solicitud de Alta o Desbloqueo de Operador Temporal
de la opcin de mantenimiento de contraseas.
La bsqueda del operador Tercero de Confianza, una vez localizado el centro en el que est
activo, se deber realizar mediante el D.N.I., siendo este el dato que deber proporcionar el
usuario/operador final que realizar la solicitud. Esta bsqueda quedar restringida al centro desde
donde se realiza la peticin.
Una vez localizado el operador Tercero de Confianza, deber poder activarse el campo que le
permitir acceder al formulario de solicitud de Alta o Desbloqueo de Operador Temporal. Esta
opcin deber poder ser desactivada por el Administrador y/o Administrador Delegado de
Emergencia en el momento que se confirme el correcto acceso a Diraya de la persona para la que
se realiza la solicitud.
b) Opcin/ventana de Registro del formulario de solicitud.

El acceso a este mdulo se realizar mediante un navegador, pudiendo incluso ser una extensin
especfica de MACO o directamente puede ser una opcin de mantenimiento de contraseas en
Diraya, requiriendo siempre la validacin del operador Tercero de Confianza con los mismos
datos de acceso recogidos en MACO. Constar de dos opciones:
1.- En una de ellas, el Tercero de Confianza tendr acceso al formulario de solicitud que
deber cumplimentar para realizar la peticin. El formulario deber contener los siguientes
campos con los datos del operador para el que se solicita el alta o cambio de contrasea:
Nombre y Apellidos
D.N.I.
Puesto de trabajo
Centro de Trabajo
Telfono de contacto
Mdulo para el que solicita el acceso
Perfil que se solicita
mbito organizativo
Alta o Restablecimiento de contrasea
Otros campos que se consideren necesarios.
Es importante sealar que en el Procedimiento de Emergencia no se contempla la

solicitud de operadores con perfil Administrador de Mdulo o Administrador Delegado, tan
solo operador.
2.- En la otra opcin de men, el Tercero de Confianza podr consultar el estado de su
solicitud, mostrndose los datos de la persona para la que realiz la solicitud, as como el
usuario y contrasea que le ha sido asignado a la persona para la que realiza la peticin,
122

en el momento en el que se haga efectiva por parte del Administrador Delegado de
Emergencia.
c) Opcin/ventana para el Procesamiento de la solicitud.

Cuando el formulario haya sido completado y grabado, los datos de la solicitud quedarn
almacenados en una base de datos, donde quedarn guardadas todas las solicitudes realizadas
mediante este Procedimiento de Emergencia.
El Administrador Delegado de Emergencia tendr acceso mediante el navegador a todas las
peticiones solicitadas por el Procedimiento de Urgencia que estn pendientes de hacer efectivas.
Con los datos correspondientes a cada solicitud acceder al Mdulo de Acceso Centralizado de
Operadores (MACO), donde podr completar la peticin solicitada de alta de operador o
restablecimiento de contrasea.
El alta del operador o el restablecimiento de la contrasea que sea realizado por un Administrador
Delegado de Emergencia tendr una validez de 72 horas. Finalizado este plazo, el operador
correspondiente dejar de estar activo de forma automtica. Simultneamente a este alta o
restablecimiento, se remitir de forma automtica un correo electrnico al Administrador Delegado
correspondiente a la ubicacin desde donde se realiza la peticin, con los datos suministrados en
el formulario, junto con los datos administrativos del operador Tercero de confianza que ha
actuado de intermediario.
Ser el administrador delegado quien en un plazo de 72 horas deber confirmar la validez del
nuevo operador, eliminndose en este caso la inactivacin automtica del operador.
d) Opcin/ventana para la Notificacin de Usuario y Contrasea.

Una vez completada la solicitud, el Tercero de Confianza podr consultar accediendo al
estado de la peticin, el usuario y contrasea establecidos. La contrasea deber ser cambiada en
el primer acceso que se realice a la aplicacin.
123
e) Actuaciones del operador CEGES en el procedimiento mediante

TERCERO DE CONFIANZA
Actuacin CEGES (a realizar por el operador Excepciones al procedimiento (a reflejar por el
de CEGES que quedar identificado en la BD operador CEGES en la BD durante el tratamiento
de Incidencias).
de la incidencia).
1.- Registra la incidencia en BD CEGES
(tipificacin: Alta/baja Operador Diraya). Esta Para este procedimiento no se contemplan
BD es accesible por Responsables SAS a excepciones. En el caso de que no se pueda identificar
en el centro una persona con un operador activo en
travs de webCEGES.
2.- Solicita al usuario afectado la persona
de referencia (deber ser operador activo en
Diraya en su mismo centro de trabajo), que
actuar como Tercero de Confianza y que
actuar de intermediario en la solicitud de alta
de operador o restablecimiento de
contrasea y en la notificacin de los datos
de acceso. (este paso es imprescindible para
poder completar el Procedimiento).
alguno de los mdulos Diraya NO SE PODRA

ACEPTAR LA SOLICITUD DE ALTA de OPERADOR O
RESTABLECIMIENTO DE CONTRASEA por este
procedimiento.
3.- Habilita al Tercero de Confianza el

acceso Web al mdulo para el Procedimiento
de Emergencia. Comunica por telfono con el
Tercero de Confianza para informarle de su
papel en el procedimiento y confirmar su
acceso al mdulo correspondiente.
4.- Comprueba que se ha registrado una
solicitud por parte del Tercero de Confianza.
Si es as procede a realizar la actuacin en
MACO (y si es procedente en el Dominio
W2K-Citrix) mediante el usuario Administrador
Delegado de Emergencia disponible en
CEGES.
5.- Notifica al Tercero de Confianza que la
solicitud ha sido realizada. Una vez que el
Tercero de Confianza haya facilitado al
interesado su usuario y contrasea deber
comunicar a CEGES el cierre de la peticin.
5.- Verifica con el usuario a travs de
TELEFONO el correcto acceso a la aplicacin.
Procede al cierre de la incidencia en BD
CEGES y deshabilita el acceso al Tercero de
Confianza al mdulo para el Procedimiento de
Emergencia.
124
ANEXO H. PROCEDIMIENTOS DE ATENCIN A USUARIOS. FLUJO DE GESTIN

DE INCIDENCIAS.
Descripcin del Proceso

El siguiente diagrama de contexto refleja las diferentes entidades del modelo de Gestin de Incidencias:
Servicio de Informtica
(SAS)
Peticiones/Reclamaciones
Notificacin
estado
Usuario
Usuari
o
Resolucin
NIVEL 1
1
Incidencia
Parte
de
Resolutor
Asignacin
Parte resolucin
Resolutor
NIVEL 2
2
CEGES
Resolutores
Resolutores Externos
Diagrama de Contexto Gestin de Incidencias
125

La relacin entre Usuario y NIVEL 1 Centro de Gestin ser la siguiente:
El Usuario se pone en contacto con el personal del NIVEL 1, que se ubicar en el Centro de
Gestin, a travs de un nmero de telfono nico (lnea 900).
El personal de NIVEL 1 es el responsable de recepcionar, registrar y resolver en primer nivel
las incidencias reportadas por los usuarios. Caso contrario las escalar a Segundo Nivel o al
resolutor adecuado.
El personal de NIVEL 1 es el responsable de notificar el estado y cierre de la incidencia al
usuario.
La relacin entre NIVEL 1 Centro de Gestin y Resolutores Externos ser la siguiente:
El personal de NIVEL 1 asigna la incidencia a Resolutores Externos cuando esta no quede
dentro del alcance del Centro de Gestin o no pueda ser resuelta en primer nivel.
El Resolutor Externo notifica a NIVEL 1 el estado de la incidencia a travs de los mecanismos
establecidos (WebCeges, correo electrnico,..).
La relacin entre NIVEL 1 Centro de Gestin y Servicio de Informtica ser la siguiente:
El personal de NIVEL 1 asigna las peticiones especiales/solicitudes/reclamaciones al Servicio
de Informtica para que sean tramitadas.
Gestin de Aprovisionamiento valida la peticiones especiales/solicitudes/reclamacin y
notifica a CEGES la situacin.
La relacin entre el NIVEL 1 y NIVEL 2 ser:
NIVEL 1: los operadores de Nivel 1 reciben las llamadas y tratan de resolverlas. Si no pueden
resolver una incidencia que queda dentro del alcance del Centro de Gestin, la escalan al
NIVEL 2.
NIVEL 2: los tcnicos del NIVEL 2 analizan y resuelven los problemas, y posteriormente
documentan los mtodos de resolucin.
Los puntos clave del diagrama de contexto anterior son los siguientes:
La herramienta utilizada por las personas involucradas en la Gestin de Incidencias ser CA
Unicenter ServicePlus ServiceDesk (USD).
La asignacin de incidencias a resolutores externos se realizar a travs de partes de
incidencias (rdenes).
En base a lo expuesto anteriormente, el proceso general propuesto para la Gestin de Incidencias y sus
Interfaces con las dems reas queda reflejado en el diagrama de la siguiente pgina.
126

CENTRO
CENTRO DE
DE GESTIN
GESTIN
NIVEL
NIVEL 12
Incidencia
1
Notificacin
Notificacin
usuario
usuario
Cierre
Cierre
Registro
Registro de
de
incidencia
incidencia
2
S
B.D Incidencias
Resolucin
Resolucin
1
1 nivel
nivel ?
No
SUPERVISIN Y
Y CONTROL
CONTROL
SUPERVISIN
Direccin
Direccin
del
del
Proyecto
Proyecto
Asignacin
Asignacin
problema
problema
Si
Responsable
Responsable
Centro
Centro de
de
Gestin
Gestin ??
No
A
NIVEL
NIVEL 22
Notificacin
4
Diagnstico
Diagnstico
5
Resoluble
Resoluble ??
6
No
Reasignacin
Reasignacin
Si
Resolucin
Resolucin
10
RESOLUTORES EXTERNOS
CENTRO DE GESTIN (NIVEL 1)
11
A
Resoluble
Avera HW? ?
No
Crear parte avera
Recepcin
incidencia
12
Si
Si
Garanta?
Resolucin
incidencia
Notificacin
NIVEL 1
13
14
No
GESTION DE APROVISIONAMIENTO
Reparacin
equipo ?
No
Procedimientos
internos
Si
Asignar a
Reasignacin
proveedor
17
B
15
10
Modelo Lgico de Procesos de la Gestin de Incidencias
127
1. Incidencia. El usuario final reporta la incidencia al Centro de Gestin va telfono. En el Centro se

recepciona la incidencia por parte de los Operadores de primer nivel (NIVEL 1) que utilizan la
aplicacin de gestin de incidencias basada en AHD.
2. Registro de Incidencia. Esta actividad incluye la introduccin manual de los datos bsicos de la
incidencia necesarios para su resolucin posterior: descripcin, usuario que la reporta, recurso
afectado, etc. Esta tarea puede realizarse por los Operadores de primer nivel o de forma
automtica por parte del sistema de monitorizacin.
Durante el proceso de registro de la incidencia es posible que el NIVEL 1 sea capaz de resolverla
(resolucin en primer nivel). En ese caso se notifica al usuario los pasos a ejecutar para su
resolucin y se procede al cierre de la incidencia segn se describe en los pasos 8 y 9.
Si NIVEL 1 no resuelve la incidencia se da de alta un nuevo problema con una determinada
prioridad y tipificacin (categora/tipo/subtipo).
3. Asignacin Incidencia. A partir del tipo de problema, la aplicacin de Gestin de Incidencias
asigna automticamente un responsable de resolucin (realizador). Esta asignacin puede ser
modificada de forma manual por los Operadores de primer nivel. El Supervisor arbitra la
asignacin del problema en caso de que la tipificacin del mismo no est clara.
4. Notificacin. El realizador recibe la notificacin correspondiente a dicha asignacin. El Supervisor
realizar un seguimiento de todos los problemas abiertos y/o escalados. En caso que se alcance la
fecha de expiracin asignada a un problema, el Supervisor se lo notificar al encargado de
solucionar el problema para que adopte las medidas oportunas.
5. Diagnstico. El realizador efecta un diagnstico del problema utilizando todos los medios a su
alcance (B.D. de conocimientos, Monitorizacin, etc.). En caso que ste no sea de su
competencia, se notifica al Supervisor para su reasignacin.
6. Reasignacin. El Supervisor analizar los motivos por los que se ha rechazado la asignacin de
la incidencia por el realizador para, si procede, realizar la nueva asignacin al resolutor adecuado.
7. Resolucin. Se documenta la solucin del problema, as como los procedimientos de verificacin.
El Supervisor es notificado para iniciar los pasos de certificacin de la solucin.
8. Notificacin Usuario. Se contrasta con el usuario final la validez de la solucin. Si la anomala
persiste, se reabre el problema, repitindose el flujo de gestin.
9.Cierre. Cuando el usuario confirma la solucin, se deja constancia de ello en la base de datos
cerrando la incidencia (especificacin de la fecha de cierre, correcciones al diario de trabajo, etc.).
10.Supervisin y Control. El proceso es controlado mediante la generacin de indicadores de
rendimiento de Soporte a Usuarios, notificndose a los diferentes responsables del nivel de
servicio proporcionado.
11.Crear Parte Resolutor. Si se trata de una incidencia para escalar a un Resolutor, se crear un
parte que ser enviado al resolutor externo correspondiente, segn el mecanismo acordado.
12.Recepcin Incidencia. El resolutor recibe la incidencia que se le ha asignado.
13.Notificacin a Nivel 1. El resolutor externo enva notificacin a CEGES de la resolucin de la
incidencia, por el mecanismo acordado previamente (WEBCEGES, correo, electrnico, fax,.).Esta
solucin ser registrada posteriormente en la base de datos de incidencias.
128

14.Asignar a proveedor. Si un equipo hardware averiado no est en garanta y tiene reparacin, el
Servicio de Informtica de SAS determinar el resolutor externo al que se asignar la reparacin
del equipo para que NIVEL 1 cree el parte de avera apropiado.
15.Procedimientos Internos. Si el equipo no tiene reparacin, Servicio de Informtica ejecutar el
procedimiento interno adecuado (baja de equipo, donacin, etc.) notificando al Centro de Gestin
del estado de la incidencia.
129

Manual de Seguridad S - A - S - 2006 PDF

Загружено:

Сведения о документе

Оригинальное название

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Manual de Seguridad S - A - S - 2006 PDF

Загружено:

Авторское право:

Доступные форматы

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa

GESTIN DE RIESGOS DIGITALES

Servicio Andaluz de Salud

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa

Manual de Seguridad de la Informacin

Revisin de los Formularios para el derecho de Acceso, Rectificacin

Servicio Andaluz de Salud

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa

Actualizacin del Documento de Seguridad del S.A.S

Servicio Andaluz de Salud

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa

mbito funcional ___________________________________________________________9

mbito personal ____________________________________________________________9

mbito Material ____________________________________________________________9

Definicin de perfiles. _______________________________________________________12

Organizacin de Seguridad __________________________________________________13

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa

Encargado del Tratamiento__________________________________________________27

Anexo A. Normas y Procedimientos de Seguridad. _________________________ 30

Disposicin de creacin de los Ficheros ________________________________________49

Notificacin a la Agencia de Proteccin de Datos ________________________________50

Relacin de Ficheros Declarados______________________________________________50

3. Procedimiento para el Ejercicio de los Derechos de Oposicin, Acceso,

Forma de Ejercer los Afectados estos Derechos__________________________________53

Derecho de Acceso _________________________________________________________53

Derecho de Rectificacin ____________________________________________________54

Derecho de Cancelacin _____________________________________________________54

Comunicacin al Afectado ___________________________________________________56

4. Procedimiento de Relaciones Contractuales con Empresas Externas con Acceso

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa

Clusulas a Incorporar en el Contrato ________________________________________66

5. Registro de Incidencias de Seguridad de la Informacin Corporativa ______ 69

Notificacin de Incidencias __________________________________________________70

Resolucin de la Incidencia __________________________________________________70

6. Procedimiento de Gestin de Soportes ________________________________ 73

Inventariado de Copias de Seguridad__________________________________________83

Identificacin de Copias de Seguridad _________________________________________84

Almacenamiento de las copias de seguridad ____________________________________85

Entradas y Salidas de Copias de Seguridad _____________________________________86

Verificacin de Copias de Seguridad __________________________________________86

Recuperacin de Informacin ________________________________________________87

Destruccin de las copias de seguridad_________________________________________90

Auditoria del Sistema de Copias de Seguridad __________________________________90

8. Descripcin del Uso del Sistema de Informacin Corporativa_____________ 91

Documentacin Tcnica _____________________________________________________91

Documentacin de Usuario __________________________________________________91

9. Procedimiento de Acceso al Sistema de Informacin ____________________ 92

Identificacin y Autenticacin ________________________________________________92

Caractersticas del Identificador de Usuario y Contrasea ________________________93

Altas de Usuarios __________________________________________________________97

Bajas de Usuarios __________________________________________________________99

Modificacin de Permisos ___________________________________________________99

Almacenamiento de Contraseas ____________________________________________100

Auditora de Permisos de Acceso ____________________________________________101

Servicio Andaluz de Salud

Unidad de Gestin de Riesgos Digitales

Manual de Seguridad de la Informacin Corporativa