Академический Документы
Профессиональный Документы
Культура Документы
Manual de Seguridad
de la Informacin
Corporativa
SEPTIEMBRE 2006
Fecha
25-2-2002
22-1-2003
Descripcin de la modificacin
Primer Documento de Seguridad consensuado S.A.S.
Documento de Seguridad Nivel Alto
Documento de Seguridad Nivel Medio
Documento de Seguridad Nivel Bsico
Unificacin de los tres documentos (alto, medio y bsico)
Unificacin en un solo documento de toda la poltica de seguridad de
la informacin, sea de carcter personal o no.
Revisin de procedimientos:
Procedimientos de Declaracin de Ficheros de Carcter
Personal
Ejercicio de Derechos de acceso, Rectificacin, Cancelacin
y Oposicin de Datos de Carcter Personal
Relaciones contractuales con empresas externas
Registro de Incidencias de Seguridad de la Informacin
Gestin de Soportes
Copias de Respaldo y Recuperacin
Descripcin del Sistema de Acceso a la Informacin
Corporativa
Control de Accesos a la Informacin Corporativa
Registro de Accesos
Actualizacin del estado de declaracin de ficheros (Anexo C)
Actualizacin seguridad fsica de C.P.D. (Anexo D)
Inclusin gua de consejos de proteccin de nuestros sistemas contra
virus
10-5-2004
4
5
11-2004
12-2004
05-2005
09-2006
ndice
1. Poltica de Seguridad _______________________________________________ 7
2. Objeto del documento. ______________________________________________ 8
3. mbito de aplicacin._______________________________________________ 9
3.1
3.2
3.3
4. Definiciones. ______________________________________________________ 9
5. Recursos protegidos._______________________________________________ 11
6. Funciones y obligaciones del personal. ________________________________ 12
6.1
6.2
6.3
Todo el Personal ___________________________________________________________14
6.3.1
Confidencialidad de la Informacin__________________________________________14
6.3.2
Salvaguarda y proteccin de las contraseas personales __________________________14
6.3.3
Puesto de trabajo ________________________________________________________15
6.3.4
Sistema Informtico y Telemtico de Acceso a la Informacin ____________________16
6.3.5
Otros Recursos__________________________________________________________16
6.3.6
Gestin de Incidencias____________________________________________________16
6.3.7
Gestin de soportes ______________________________________________________16
6.3.8
Copias de Respaldo y Recuperacin _________________________________________17
6.4
Responsable del Fichero_____________________________________________________18
6.4.1
Poltica de Seguridad de la Informacin Corporativa ____________________________18
6.4.2
Declaracin de Ficheros de Carcter Personal__________________________________18
6.4.3
Ejercicio de derechos de oposicin, acceso, rectificacin o cancelacin de Datos de
Carcter Personal _______________________________________________________________18
6.4.4
Gestin de soportes ______________________________________________________18
6.4.5
Controles peridicos de verificacin del cumplimiento___________________________19
6.5
Responsable de Seguridad ___________________________________________________20
6.5.1
Poltica de Seguridad de la Informacin Corporativa ____________________________20
6.5.2
Declaracin de Ficheros de Carcter Personal__________________________________20
6.5.3
Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos de
Carcter Personal _______________________________________________________________20
6.5.4
Gestin de incidencias ____________________________________________________21
6.5.5
Gestin de Soportes ______________________________________________________21
6.5.6
Copias de Respaldo y Recuperacin _________________________________________21
6.5.7
Descripcin del Uso del Sistema de Informacin Corporativa _____________________21
6.5.8
Control de Accesos ______________________________________________________21
6.5.9
Registro de Accesos______________________________________________________22
6.5.10
Controles Peridicos de Verificacin del Cumplimiento _______________________22
6.6
Responsable Sistemas y Tecnologas de la Informacin ___________________________23
6.6.1
Poltica de Seguridad de la Informacin Corporativa ____________________________23
6.6.2
Sistema Informtico y Telemtico de Acceso a la Informacin ____________________23
Servicio Andaluz de Salud
Gestin de Incidencias____________________________________________________23
Descripcin del Uso del Sistema de Informacin Corporativa _____________________23
Control de Accesos ______________________________________________________23
Registro de accesos ______________________________________________________24
6.7
Usuario Responsable de la Aplicacin/Fichero __________________________________25
6.7.1
Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos de
Carcter Personal _______________________________________________________________25
6.7.2
Gestin de Soportes ______________________________________________________25
6.7.3
Copias de Respaldo y Recuperacin _________________________________________26
6.7.4
Control de Accesos ______________________________________________________26
6.7.5
Externalizacin de Servicios _______________________________________________26
6.8
6.9
Administradores de Bases de Datos/Sistemas/Red _______________________________28
6.9.1
Sistema Informtico y Telemtico de Acceso a la Informacin ____________________28
6.9.2
Copias de Respaldo y Recuperacin _________________________________________28
6.9.3
Descripcin del Sistema de acceso a la Informacin Corporativa ___________________29
6.9.4
Control de Accesos ______________________________________________________29
6.9.5
Registro de Accesos______________________________________________________29
2.2
2.3
3.3
3.4
3.5
3.6
Derecho de Oposicin_______________________________________________________55
3.7
4.3
Otras Empresas que trabajen para el S.A.S. ____________________________________68
4.3.1
Clusulas a Incorporar en el Contrato ________________________________________68
Incidencias________________________________________________________________69
5.2
Responsable_______________________________________________________________70
5.3
5.4
5.5
Auditora _________________________________________________________________71
Confidencialidad___________________________________________________________79
7.2
Responsables ______________________________________________________________79
7.3
Realizacin de Copias de Respaldo y Periodicidad _______________________________80
7.3.1
Entorno sanitario y econmico: _____________________________________________80
7.3.2. Entorno Recursos Humanos: _______________________________________________82
7.4
7.5
7.6
7.7
7.8
7.9
7.10
7.11
8.2
9.2
9.3
9.4
9.5
9.6
9.7
10.2
Anexo D.
1. Poltica de Seguridad
En el SERVICIO ANDALUZ DE SALUD confluyen aspectos sanitarios, personales, tecnolgicos,
financieros, de imagen, etc. Todos estos aspectos se materializan en proyectos, ficheros
personales, informes, planes estratgicos, edificios, equipos, etc., que constituyen su patrimonio
(bienes tangibles e intangibles), el cual es necesario preservar para el ptimo servicio al
ciudadano, adems de que su quebranto pueda tener graves repercusiones legales, ira contra la
buena imagen, la seguridad y el funcionamiento del Sistema Sanitario.
Todos estos aspectos se encuentran plasmados en documentos, materiales y equipos,
instalaciones, personas, sistemas informticos, etc. La preservacin de todo lo relacionado con la
informacin que genera el conjunto y, en determinados casos, cuyo conocimiento por terceros no
es deseado, se denomina Seguridad de la Informacin, que al corresponder al Servicio Andaluz de
Salud, adquiere el nombre de Seguridad de la Informacin Corporativa.
En este documento, que es el Manual de Seguridad de la Informacin Corporativa del S.A.S.
(en adelante Manual), estn definidas las reglas de actuacin en el S.A.S., asegurando un
adecuado equilibrio entre las necesidades de los usuarios, las exigencias de Seguridad y el
respeto a las leyes vigentes.
La aplicacin de estas reglas permitir garantizar la proteccin de la informacin y forman parte
del conjunto de medidas, controles y procedimientos destinados a cumplir con los tres aspectos
bsicos que son esenciales para el funcionamiento de la empresa, el cumplimiento de la legalidad
vigente y la imagen de la propia empresa: confidencialidad, integridad y disponibilidad.
Todos los empleados debern colaborar en el cumplimiento de las reglas de Poltica de Seguridad
de la Informacin Corporativa que aqu se regulan, y como consecuencia de ello asumen un deber
de colaboracin con el S.A.S. en el inters de que no se produzcan alteraciones o violaciones de
estas reglas.
Este documento es conocido por todas las personas que prestan sus servicios en el S.A.S., por lo
que todos conocen las obligaciones que asumen respecto del uso correcto de los recursos
informticos de la empresa.
Estas normas sern efectivas desde el mes de enero de 2003, hasta la fecha en que puedan ser
modificadas parcial o totalmente. Cada una de las modificaciones que se realicen o adendas que
se incorporen al presente documento sern comunicadas a todos los empleados, mediante
insercin en la Intranet del S.A.S.
El Manual actualizado y vigente ser el que se encuentre en cada momento en la Intranet del
S.A.S.
Integridad: la informacin tiene que ser completa, exacta y vlida, siendo su contenido
el previsto de acuerdo con unos procesos predeterminados, autorizados y controlados.
Disponibilidad: la informacin debe estar accesible y ser utilizable por los usuarios
autorizados en todo momento, debiendo estar garantizada su propia persistencia ante
cualquier eventualidad.
3. mbito de aplicacin.
3.1 mbito funcional
Este Manual se aplicar en el Servicio Andaluz de Salud respecto de sus recursos de informacin
y conocimiento, en la extensin y detalle que se describen en el mismo.
El documento hace especial hincapi en la poltica de seguridad definida por la organizacin para
los ficheros que contienen datos de carcter personal, aunque dicha poltica se aplica a todos
aquellos ficheros y recursos, protegidos o no, que contengan o traten datos automatizados, sin
olvidar que la proteccin alcanza al tratamiento de datos no automatizados, es decir, que se
encuentren en soportes fsicos.
4. Definiciones.
Informacin:
Expresin genrica para indicar todos los datos que pueden ser procesados por cualquier
medio y que tienen un determinado valor para el S.A.S.
LOPD:
Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter Personal.
Declarante:
Persona fsica que cumplimenta la solicitud de preinscripcin y acta como mediador entre la
Agencia y el titular/responsable del Fichero. No debe necesariamente coincidir con el
titular/responsable.
Tratamiento de datos:
Operaciones y procedimientos tcnicos de carcter automatizado o no, que permitan la
recogida, grabacin, conservacin, elaboracin, modificacin, visualizacin, bloqueo y
cancelacin, as como las cesiones de datos que resulten de comunicaciones, consultas,
interconexiones y transferencias. (Artculo 3 LOPD).
Afectado o interesado:
Persona fsica titular de los datos que sean objeto del tratamiento. (Artculo 3 LOPD)
Procedimiento de disociacin:
Todo tratamiento de datos personales de modo que la informacin que se obtenga no pueda
asociarse a persona identificada o identificable.
Bloqueo de datos:
La identificacin y reserva de los datos con el fin de impedir su tratamiento.
Soporte informtico:
Objeto fsico susceptible de ser tratado en un sistema de informacin y sobre el cul se puede
grabar o recuperar datos.
Incidencia:
Cualquier anomala que afecte o pudiera afectar a la seguridad de los datos.
10
5. Recursos protegidos.
La proteccin de la informacin corporativa frente a accesos no autorizados, se deber realizar
mediante el control de todas las vas por las que se pueda tener acceso a ella.
Los recursos, que por servir de medio directo o indirecto para acceder a la informacin corporativa,
que debern ser controlados por esta normativa son:
1. El servicio/unidad de informtica y locales donde se encuentren ubicados los ficheros o se
almacenen los soportes que los contengan. El servicio/unidad de informtica deber disponer
de una sala adecuada para ubicar los equipos servidores y los soportes de almacenamiento
necesarios, "Sala de Servidores". Su descripcin figura en los Anexos A, apartado 1 y Anexo
D.
2. Los puestos de trabajo, bien locales o remotos, desde los que se pueda tener acceso al
Fichero.
3. Los servidores, si los hubiese, y el entorno de sistema operativo y de comunicaciones en el
que se encuentra ubicado el Fichero, que est descrito en el Anexo D (Sistemas de
informacin del fichero).
4.
Los sistemas informticos, o aplicaciones establecidos para acceder a los datos, descritos en
el Anexo A, apartado 8 (Descripcin del Sistema de Acceso a la Informacin Corporativa).
11
12
6.2Organizacin de Seguridad
Responsable
Fichero
Usuario
Responsable
Aplicacin
Responsable
Seguridad
Responsable
Sistemas y
Tecnologas
(**)
Encargado
Tratamiento
Usuario
Administrador
Sistemas/Red/BD
**El Encargado del Tratamiento depende legalmente, a travs del contrato de prestacin del
servicio correspondiente, del Responsable del Fichero, sin embargo ser el Usuario Responsable
de la Aplicacin correspondiente, quien vele y le exija el estricto cumplimiento de las normas de
seguridad sobre los datos que gestiona.
13
6.3.1
Confidencialidad de la Informacin
1.
Guardarn la debida reserva sobre las materias clasificadas a las que hayan tenido acceso en
razn a su puesto de trabajo u otra circunstancia.
2.
3. El Responsable del Fichero y quienes intervengan en cualquier fase del tratamiento de los
datos de carcter personal estn obligados al secreto profesional respecto de los mismos y al
deber de guardarlos, obligaciones que subsistirn aun despus de finalizar sus relaciones con
el titular del fichero o, en su caso, con el responsable del mismo. (Artculo 10 LOPD)
4. Queda prohibido extraer datos de un fichero de datos de carcter personal ya existente, o
crear un fichero de datos personales aprovechando los datos de un fichero ya existente, sin la
autorizacin del Responsable del Fichero.
5. Queda prohibido utilizar archivos con datos personales que el S.A.S. no haya comunicado y
registrado ante la Agencia de Proteccin de Datos.
6. Respecto de aquellos archivos que el S.A.S. haya comunicado y registrado en la Agencia de
Proteccin de Datos, se prohbe cruzar informacin relativa a datos de diferentes ficheros o
servicios con el fin de establecer perfiles de personalidad, hbitos de consumo o cualquier otro
tipo de preferencias, sin la autorizacin expresa del responsable del fichero.
6.3.2
14
6.3.3
Puesto de trabajo
15
6.3.4
.
1. Todos los recursos telemticos e informticos del S.A.S., incluido por tanto Internet y el correo
electrnico, sern usados con fines profesionales directamente relacionados con el puesto de
trabajo del usuario.
2. Queda estrictamente prohibido el uso de programas informticos sin la correspondiente
licencia, as como el uso, reproduccin, cesin, transformacin o comunicacin pblica de
cualquier tipo de obra o invencin protegida por la propiedad intelectual o industrial.
6.3.5
Otros Recursos
1. El empleado, en el momento en que finalice su contrato con el S.A.S. deber entregar a los
responsables de los Centros, reas o Servicios cualesquiera dibujos, anotaciones,
memorandos, especificaciones, esquemas, frmulas, y documentos, junto con todas las
copias de los mismos, y cualquier otro material que contenga o revele cualquier Invencin de
la Empresa, Informacin de Terceras Partes o Informacin clasificada del S.A.S. Asimismo
deber devolver todos aquellos instrumentos de trabajo que le han sido puestos a disposicin
por la compaa: telfono mvil, tarjetas de acceso a edificios y CPD, ordenadores porttiles,
etc., que son propiedad del S.A.S.
6.3.6
Gestin de Incidencias
1. Es obligacin de todo el personal del S.A.S. notificar cualquier incidencia que afecte a la
seguridad de los datos, o presuncin/sospecha de la misma, que se produzca en los sistemas
de informacin a los que tenga acceso y recopilar toda la informacin posible para optimizar el
procedimiento de deteccin del problema.
2. Es obligacin de todo el personal del S.A.S. notificar al Responsable de Seguridad cualquier
otra incidencia, de naturaleza no tcnica, que atente o pueda atentar contra la seguridad de la
informacin corporativa.
3. El conocimiento y la no notificacin de una incidencia por parte de un usuario ser
considerada como una falta del mismo contra la Seguridad del Fichero por parte de ste.
6.3.7
Gestin de soportes
1. Los soportes que contengan datos, bien como consecuencia de operaciones intermedias
propias de la aplicacin que los trata, o bien como consecuencia de procesos peridicos de
respaldo o cualquier otra operacin espordica, debern estar claramente identificados con
una etiqueta externa que indique de qu fichero se trata, qu tipo de datos contiene, proceso
que los ha originado y fecha de creacin.
2. Aquellos medios que sean reutilizables, y que hayan contenido copias de datos no pblicos,
debern ser borrados fsicamente antes de su reutilizacin, de forma que los datos que
contenan no sean recuperables.
3. Los soportes que contengan datos no pblicos debern estar almacenados en lugares a los
que slo tengan acceso personas autorizadas.
16
6.3.8
17
OBLIGACIONES
6.4.1
6.4.2
6.4.4
Gestin de soportes
18
1. Al menos cada dos aos, se realizar una auditora, externa o interna que dictamine el
correcto cumplimiento y la adecuacin de las medidas del presente documento de seguridad o
las exigencias del reglamento de seguridad, identificando las deficiencias y proponiendo las
medidas correctoras necesarias. Los informes de auditora sern analizados por el
Responsable de Seguridad, quien propondr al Responsable del Fichero las medidas
correctoras correspondientes. (Artculo 17 RD 994/1999).
19
OBLIGACIONES
6.5.1
20
6.5.4
Gestin de incidencias
Gestin de Soportes
6.5.6
6.5.7
6.5.8
Control de Accesos
21
6.5.9
Registro de Accesos
22
OBLIGACIONES
6.6.1
6.6.2
Gestin de Incidencias
6.6.4
6.6.5
Control de Accesos
23
6.6.6
Registro de accesos
24
OBLIGACIONES
6.7.1 Ejercicio de Derechos de Oposicin, Acceso, Rectificacin y Cancelacin de Datos
de Carcter Personal
1. El Usuario Responsable de la Aplicacin/Fichero estudiar la reclamacin y elaborar un
escrito de comunicacin al reclamante, en sentido aprobatorio o denegatorio, indicando en
este ltimo caso las causas, hacindole ver que pueden ejercitar el derecho de reclamacin
ante la Agencia de Proteccin de Datos. El escrito deber ir firmado por el Responsable del
Fichero. Se deber tener muy en cuenta los plazos fijados por la normativa a aplicar.
2. En caso de que se proceda a hacer efectivo alguno de los derechos el Usuario Responsable
de la Aplicacin/Fichero analizar si existieron cesiones para notificarlo a quien trate los datos
cedidos y notificar los cambios al Encargado del Tratamiento en caso de que exista.
3. El Usuario Responsable de la Aplicacin/Fichero ser el encargado de hacer efectivo el
derecho reclamado en la forma y plazo que establece el procedimiento para el ejercicio de
oposicin, acceso, rectificacin y cancelacin de datos de carcter personal.
6.7.2
Gestin de Soportes
El RD 994/1999 establece en su artculo 13.2 que la autorizacin ser del Responsable del
Fichero. Sin embargo para una ms gil operativa se establece en el S.A.S. que la autorizacin
ser del Usuario Responsable de la Aplicacin/Fichero por ser quien vela en su operativa diaria
por el cumplimiento de las normas establecidas sobre la informacin que trata.
25
6.7.3
Control de Accesos
6.7.5
Externalizacin de Servicios
El RD 994/1999 establece que la autorizacin ser por parte del Responsable del Fichero. En el
S.A.S. se establece que dicha autorizacin se delega al Usuario Responsable de la
Aplicacin/Fichero, como persona ms en contacto con la operativa diaria.
26
RESPONSABILIDADES
1. El Encargado del Tratamiento adquiere una responsabilidad contractual con el S.A.S. si
menoscaba alguna de las normas que se relacionan en el presente manual.
OBLIGACIONES
1. Cumplir las instrucciones del Usuario Responsable de la Aplicacin/Fichero y la finalidad
sealada en el contrato.
2. Preservar que slo tengan acceso, y a la informacin correspondiente, las personas
autorizadas para ello, actuando nicamente con el alcance que le haya sido fijado: slo
consulta, modificacin, etc.
Para ello propondr las altas y bajas de acceso de usuarios a su aplicacin y/o informacin
correspondiente en la aplicacin de Mantenimiento del Sistema de Informacin, segn
establece el Anexo A, apartado 9 de Procedimiento de Acceso al Sistema de Informacin.
Es importante resaltar la obligatoriedad de notificar la baja, en el momento que se conozca,
del personal que deba dejar de tener acceso a la informacin corporativa.
3. Hacer cumplir todas las funciones, obligaciones y recomendaciones que se recogen en el
apartado 6.3 del presente Manual, respecto a todos sus usuarios que traten la informacin
corporativa del S.A.S.
4. Una vez cumplida la prestacin contractual, los datos de carcter personal debern ser
destruidos o devueltos al Usuario Responsable de la Aplicacin/Fichero, al igual que cualquier
soporte o documentos en que conste algn dato de carcter personal objeto del tratamiento.
27
OBLIGACIONES
6.9.1
28
6.9.4
Control de Accesos
6.9.5
Registro de Accesos
29
2.
3.
4.
5.
6.
7.
8.
Descripcin
Corporativa.
9.
del
Uso
del
Sistema
de
Informacin
30
DESCRIPCIN
1. Los locales donde se ubiquen los ordenadores, equipos de comunicaciones y soportes que
contengan informacin corporativa, deben ser objeto de especial proteccin que garantice la
disponibilidad y confidencialidad de los datos protegidos, especialmente en el caso de que
estn conectados a red. Previniendo la interrupcin de los servicios informticos, dao fsico,
difusin de la informacin no autorizada, prdida de integridad de los datos y robo.
2. Los locales debern contar con los medios mnimos de seguridad que eviten los riesgos de
indisponibilidad de los datos, que pudieran producirse como consecuencia de incidencias
fortuitas o intencionadas. La informacin sobre los medios necesarios son:
El CTI del SAS se encuentra ubicado en la planta stano del edificio del Servicio Andaluz de
Salud situado en la Calle Amrico Vespucio n 13, 41092 Sevilla. Tambin existen oficinas
pertenecientes al CTI del SAS en las plantas cero y segunda de dicho edificio.
La sala de servidores se encuentra en el stano del edificio. Dicha sala esta a su vez dividida
en dos salas, una que albergar todos los servidores, y otra donde estarn todos los
operadores de la sala de servidores. Para poder acceder a la sala de servidores hay que
atravesar la sala de operadores.
3.
El CTI se encuentra situado en un edificio. Para poder entrar a este edificio es necesario tener
una tarjeta dotada con banda magntica y contrasea. Esta tarjeta tiene que ser autorizada por
el Jefe de Servicio de Informtica del SAS previa solicitud formal para tal efecto, y la da de alta el
Responsable de los Operadores del CTI.
Si eres una persona que no puede acceder al recinto, en la entrada existe un vigilante de
seguridad que se encarga de recoger en un libro - registro todas las entradas realizadas al
recinto, apuntando el nombre, apellidos y DNI de la persona que entra, la hora de entrada, la
31
32
Se realizan revisiones de mantenimiento cada tres meses de los sistemas de deteccin contra
incendios.
-
La instalacin de alarma, est formada por los indicadores pticos, acsticos u pticoacsticos. Estos suelen ser las sirenas electrnicas y campanas, las luces estroboscpicas y
los combinados de ambos.
El sistema de comunicacin de la alarma permitir transmitir una seal diferenciada, generada
voluntariamente desde un puesto de control. La seal ser en todo caso, audible, debiendo
ser, adems, visible cuando el nivel de ruido donde deba ser percibida supere los 60 dB(A)
(apartado 3 del apndice 1 del reglamento de instalaciones de proteccin contra incendios)
Cuando salta la alarma contra incendios en la sala de servidores, la sirena suena con un nivel
audible bastante alto. Dicha alarma saltar tambin en el control de seguridad que se
encuentra en la entrada principal del recinto.
Los sistemas de comunicacin de alarma, son los encargados de enviar los eventos
aparecidos en el sistema a un centro receptor de alarmas o a los servicios implicados. Estos
sistemas disminuyen los tiempos de respuesta a incidentes, e incrementa el nivel de
seguridad. Cuando salta la alarma en la sala de servidores, tambin lo hace en la sala de los
vigilantes de seguridad para avisarle que existe un incendio o una avera en la sala de
servidores. Los mismos vigilantes de seguridad sern los encargados de avisar a las
dotaciones de bomberos en el caso de que el fuego se complicara.
b) Agentes extintores
Los extintores de incendio, sus caractersticas y especificaciones se ajustarn al Reglamento
de Aparatos a Presin y a su instruccin Tcnica Complementaria MIE-AP5. Los extintores de
incendio, necesitaran, antes de su fabricacin o importacin, con independencia de lo
establecido por la ITC-MIE.AP5, ser aprobados de acuerdo con lo establecido en el artculo 2
del Reglamento de instalaciones de proteccin contra incendios, Real Decreto 1942/1993, a
efectos de justificar el cumplimiento de lo dispuesto en la norma UNE 23.110.
En todo edificio, se dispondrn extintores y nmero suficiente para que el recorrido real en
cada planta desde cualquier origen de evacuacin hasta un extintor no supere los 15 metros.
33
34
Numero de la placa de diseo que se asigne a cada aparato, el cul ser exclusivo para
cada extintor.
La fijacin de esta placa ser permanente, bien por remache o soldadura, autorizndose
en los extintores que carezcan de soporte para la misma, que la placa sea adherida por
otro medio, siempre que se garantice su inamovilidad.
Dichas placas, que sern facilitadas por los respectivos rganos competentes de la
Administracin, sern metlicas, debiendo resistir sin deterioro sensible la accin del los
agentes externos, con los que normalmente estn en contacto a lo largo de la vida til del
extintor, de modo que en todo momento sean legibles sus indicaciones.
Nombre o razn social del fabricante o importador que ha registrado el tipo al que
corresponde al extintor.
Instrucciones de empleo
35
La empresa mantenedora colocar en todo extintor que haya mantenido y/o recargado fuera
de la etiqueta del fabricante del mismo, una etiqueta con su nmero de autorizacin, nombre,
direccin, fecha en la que se ha realizado la operacin fecha en que debe realizarse la
prxima revisin, entregando adems al propietario del aparato un certificado del
mantenimiento realizado en el que conste el agente extintor, el gas propelente, las piezas o
componentes sustituidos y las observaciones que estime oportunas.(Disposicin Transitoria
nica de Orden de 10 de marzo de 1998 para la modificacin de ITC MIE AP5)
El RIPCI establece las condiciones mnimas de mantenimiento a las que deben ser sometidos
los extintores instalados como proteccin, siendo de dos tipos:
36
Nombre genrico
Halon-1211
Halon-1301
Halon-2402
HCFC-22
HCFC-123
HCFC-124
Prohibicin de la produccin
A partir del 01-01-1994
(Reglamento (CE) n 3093/94 del Consejo de 15 de diciembre de 1994 relativo a las sustancias
que agotan la capa de ozono.)
Programa de eliminacin:
1. Hasta el 31 de diciembre de 2002, est permitido el uso de halones reciclados o regenerados
en los sistemas de proteccin contra incendios y en los extintores instalados. Es decir,
autorizadas las recargas por actuacin y por operaciones de mantenimiento (retimbrados)
2. El 1 de enero de 2003, fin de la autorizacin de recargas.
37
38
39
e) Hidrantes exteriores
El recinto del edificio dispone, en un radio de 200 metros en torno a su permetro, de un total de 3
hidrantes exteriores.Uno de ellos se encuentra inmediatamente prximo al edificio, a una distancia
aproximada de unos 25 metros. En los tres casos, se trata de equipos dotados de dos tomas de 70
mm, con racor tipo Barcelona
f) Extintores porttiles
En el resto del edificio del CTI del SAS existen instalados suficientes extintores manuales, todos
ellos con la carga vigente. Dichos extintores estn sealizados con placas de tal forma que se
permite una fcil localizacin de los mismos, cumpliendo con lo dispuesto en el Artculo 20.1 Real
Decreto 2177/1996 de 4 de Octubre sobre los extintores porttiles, expuesto en el apartado
anterior.
La proteccin por medio de extintores porttiles se ha resuelto por medio de unidades de 6 y 12
Kg de polvo ABCE, distribuidas por los distintos sectores, pasillos y cuartos de maquinaria.
La distribucin y localizacin de los extintores en todo el edificio es la siguiente:
Planta Semistano
4,23M.).
(Nivel
- Ext. 6 Kg
Ext. lOKg
Ext. 12 Kg
Pasillo y Galera
Pasillo norte
Pasillo sur
Pasillo este
Sala
Sala
Sala
Reprografa
Sala
Sala De Maquinas
CPD
Garaje
40
ALA ESTE
ALA OESTE
ALA OESTE
ALA OESTE
Ext. 10 Kg
Ext. 12 Kg
Ext. 10 Kg
Ext. 12 Kg
Ext. lOKg
Ext. 12 Kg
Ext. 10 Kg
ALA ESTE
ALA OESTE
Ext. 12 Kg
10 Kg
12 Kg
18
ALA ESTE
ALA OESTE
ALA ESTE
ALA OEST
ALA ESTE
ALA OESTE
PLANTA SEMISOTANO
PLANTA BAJA
PLANTA PRIMERA
PLANTA SEGUNDA
PLANTA CUBIERTA
41
ALA OESTE
66 de 6 Kg
4 de 10 Kg
8 de 12 Kg
TOTAL
42
22
En el Edificio donde se alberga el CTI del Servicio Andaluz de Salud existen salidas de
emergencia como tales y las puertas de salida del mismo se encuentran sealizadas
correctamente.
Todo el recorrido de evacuacin est sealizado con placas UNE 23 033 y UNE 23
034 y todas las rutas de evacuacin estn libres de obstculos, cumpliendo con lo dispuesto en el
Artculo 12 Real Decreto 2177/1996 de 4 de Octubre sobre sealizacin e iluminacin que a
continuacin se detalla:
1. Las salidas de recinto, planta o edificio contempladas en el articulo 7 estarn sealizadas,
excepto en edificios de uso Vivienda y, en otros usos, cuando se trate de salidas de recintos
cuya superficie no exceda de 50 m2, sean fcilmente visibles desde todo punto de dichos
recintos y los ocupantes estn familiarizados con el edificio.
2. Deben disponerse seales indicativas de direccin de los recorridos que deben seguir desde
todo origen de evacuacin hasta un punto desde el que sea directamente visible la salida o la
seal que la indica y, en particular, frente a toda salida de un recorrido con ocupacin mayor
que 100 personas que acceda lateralmente a un pasillo.
En los puntos de los recorridos de evacuacin que deban estar sealizados en los que existan
alternativas que puedan inducir a error, tambin se dispondrn las seales antes citadas, de
forma tal que quede claramente indicada la alternativa correcta.
En dichos recorridos, las puertas que no sean salida y que puedan inducir a error en la
evacuacin, debern sealizarse con la seal correspondiente definida en la norma UNE 23
033 dispuesta en lugar fcilmente visible y prximo a la puerta.
3. Las seales se dispondrn de forma coherente con la asignacin de ocupantes a cada salida
realizada conforme a las condiciones establecidas en el apartado 7.4.
Para indicar las salidas, de uso habitual o de emergencia, se utilizarn las seales definidas en la
norma UNE 23 034.
El edificio dispone de diversos tipos de alumbrado de emergencia a lo largo de todos los recorridos
y en locales de maquinaria. Se trata de aparatos con lmpara de incandescencia de 40 y 60W
instalados en los techos y apliques circulares con lmparas de incandescencia de 60W, en
paredes. As mismo, todas las salidas de emergencia disponen de alumbrado de sealizacin de
emergencia. Todos estos puntos de luz estn conectados al grupo electrgeno, de manera que en
caso de interrupcin de suministro elctrico, queda garantizado un nivel de iluminacin suficiente
para permitir una evacuacin segura y ordenada.
43
44
45
Sistema SAI On line u Off line con una autonoma mnima de 30 minutos para la potencia
consumida.
46
j) Grupos Electrgenos
El uso de generadores de energa elctrica autnomos, conocidos como grupos electrgenos, es
necesario para garantizar el suministro elctrico a nuestras instalaciones, en cualquier
circunstancia. El grupo electrgeno instalado en el edificio donde se ubica el CTI del SAS tiene
una potencia de 500 kw. El tamao del grupo es bastante grande. El tipo de combustible que
utiliza este grupo es diesel. El grupo est fijo y la capacidad del tanque de combustible es de 1000
litros, lo que le da una autonoma de entre 7 y 10 horas, aunque esta autonoma puede ser
ilimitada ya que se puede recargar el tanque de combustible y el grupo seguir funcionando. El
sistema de refrigeracin que presenta el grupo es por medio de agua.
47
Tambin existe un sistema de climatizacin de emergencia basado en una serie de splits. Todas
las maquinas de la sala de servidores disponen de sensores que avisan cuando la temperatura
aumenta.
La empresa que mantiene el sistema de climatizacin del CTI del SAS lleva un mantenimiento
adecuado del sistema de climatizacin, con los cambios de filtros y limpieza de conductos
correspondientes.
La temperatura a la que se encuentra la sala es entre 19-21C con margen de fluctuacin.
Las maquinas te avisan cuando existe un aumento excesivo de la temperatura.
Existe una humedad relativa del 50%.
Tanto los equipos informticos y auxiliares como los sistemas de deteccin deben ser revisados y
probados regularmente.
48
DESCRIPCIN
1. Antes del uso de cualquier aplicacin o fichero con datos de carcter personal el responsable
de la actividad que requiera o genere dicho fichero deber comunicarlo al Responsable de
Seguridad facilitndole toda la informacin que ste requiera sobre el contenido y finalidad del
fichero.
2. El responsable de Seguridad analizar la viabilidad de crear un nuevo fichero o solicitar las
modificaciones a ficheros ya declarados.
3. Para la creacin del fichero se solicitar:
Disposicin de creacin del fichero a la Consejera de Salud
Declaracin a la Agencia de Proteccin de Datos
ANEXO 4
a) Finalidad del fichero:
b) Usos previstos:
4
Se toman como referencias los apartados que el artculo 20.2 de la LOPD relaciona y que todo
fichero debe contener.
49
c) Personas o colectivos sobre los que se pretenda obtener datos de carcter personal o que
estn obligados a suministrarlos:
d) Procedimiento de recogida de los datos de carcter personal:
e) Estructura bsica del fichero y la descripcin de los tipos de datos de carcter personal
incluidos en el mismo:
f) Cesiones de datos de carcter personal:
g) rganos de las Administraciones responsables del fichero:
h) Servicios o Unidades ante los que pueden ejercerse los derechos de acceso, rectificacin,
cancelacin y oposicin:
i) Nivel de Seguridad:
50
DESCRIPCIN
51
3. Adems se incluir en todo panfleto de informacin sobre la asistencia sanitaria que ofrece el
S.A.S., con el siguiente prrafo:
En cumplimiento de lo dispuesto en la Ley Orgnica 15/1999, de 13 de
diciembre, de Proteccin de Datos de Carcter Personal y dems
normativa aplicable, el Servicio Andaluz de Salud le informa que la
informacin obtenida en la asistencia sanitaria a su persona ha sido
incorporada para su tratamiento en un fichero automatizado. As mismo
se le informa que la recogida y tratamiento de dichos datos tienen como
finalidad la asistencia sanitaria del paciente.
Si lo desea, puede ejercitar los derechos de acceso, rectificacin,
cancelacin y oposicin, previstos por la ley, dirigiendo su escrito a la
siguiente direccin:....
52
c. Derecho de Acceso
Este derecho concede al afectado, por el tratamiento de sus datos, la posibilidad de solicitar y
obtener informacin gratuita de sus datos de carcter personal, el origen y las comunicaciones
realizadas o que se prevean realizar de los mismos.
1. Para ejercer el derecho de acceso a los datos personales del afectado se rellenar el
Formulario para el Ejercicio del Derecho de Acceso.
2. El Usuario Responsable de la Aplicacin/Fichero del fichero debe resolver sobre la solicitud de
acceso en el plazo mximo de un mes, a contar desde la recepcin de la misma, resolucin
que debe producirse aun cuando el S.A.S. no disponga de datos personales del solicitante, en
cuyo caso har constar esta circunstancia en la contestacin.
3. En caso de contestacin estimatoria el acceso debe hacerse efectivo en el plazo de los 10
das siguientes a la notificacin de la contestacin.
4. El solicitante puede elegir, de acuerdo con la Instruccin 1/1998 en su norma segunda, 2,
entre uno o varios de los siguientes sistemas de consulta del fichero, siempre que la
configuracin o implantacin material del fichero lo permita:
53
Visualizacin en pantalla.
Telecopia.
Cuando la solicitud sea llevada a cabo por persona distinta del afectado.
d. Derecho de Rectificacin
Los datos personales cuyo tratamiento no se ajuste a lo dispuesto en la Ley, los que resulten
inexactos o incompletos, pueden ser rectificados o cancelados. (Artculo 16.2 LOPD).
1. Para ejercer el derecho de rectificacin de los datos personales del afectado se rellenar el
Formulario para el Ejercicio del Derecho de Rectificacin.
2. Para revelar el carcter inexacto de los datos que figuran en los ficheros puede ser necesaria
la aportacin de copias de documentos que lo acrediten al Responsable del Fichero.
3. Si el S.A.S. ha realizado previamente a la solicitud, cesin de esos datos, debe notificar la
rectificacin a quien se hayan comunicado en el caso de que se mantenga el tratamiento por
este ltimo, que deber proceder tambin a la rectificacin.
4. Tambin deber notificar la rectificacin al Encargado del Tratamiento en caso de que exista,
para que ste proceda a la correspondiente rectificacin.
5. Estos derechos han de hacerse efectivos por el Usuario Responsable de la Aplicacin/Fichero
del fichero dentro de los diez das siguientes al de la recepcin de la solicitud.
6. La solicitud de derecho de rectificacin slo podr ser denegada por alguna de estas causas:
Cuando la solicitud sea llevada a cabo por persona distinta del afectado.
e. Derecho de Cancelacin
Los datos personales cuyo tratamiento no se ajuste a lo dispuesto en la Ley, los que resulten
inexactos o incompletos, pueden ser rectificados o cancelados. (Artculo 16.2 LOPD).
54
1. Para ejercer el derecho de cancelacin de los datos personales del afectado se rellenar el
Formulario para el Ejercicio del Derecho de Cancelacin.
2. La cancelacin da lugar al borrado fsico de los datos, salvo que esto resulte imposible por
razones tcnicas o a causa del soporte utilizado, en cuyo caso se proceder al bloqueo de los
mismos, a efectos de impedir su posterior proceso o utilizacin.
La cancelacin tambin da lugar al bloqueo de los datos conservndose nicamente a
disposicin de las Administraciones Pblicas, Jueces y Tribunales para la atencin de las
posibles responsabilidades nacidas del tratamiento durante el plazo de prescripcin de stas.
Cumplido este plazo debe procederse a su supresin.
Esta obligacin es debida a que los datos deben ser conservados durante los plazos previstos
en las disposiciones que sean aplicables, o en las relaciones contractuales entre la persona y
la entidad Usuario Responsable de la Aplicacin/Fichero.
3. Si el S.A.S. ha realizado previamente a la solicitud, cesin de esos datos, debe notificar la
cancelacin a quien se hayan comunicado en el caso de que se mantenga el tratamiento por
este ltimo, que deber proceder tambin a la cancelacin.
4. Tambin deber notificar la cancelacin al Encargado del Tratamiento en caso de que exista,
para que ste proceda a la correspondiente cancelacin.
5. Estos derechos han de hacerse efectivos por el Usuario Responsable de la Aplicacin/Fichero
del fichero dentro de los diez das siguientes al de la recepcin de la solicitud.
6. Los nicos casos en los que el Responsable del Fichero podr denegar la cancelacin son:
Cuando la solicitud sea llevada a cabo por persona distinta del afectado.
f. Derecho de Oposicin
En los casos en los que no sea necesario el consentimiento del afectado para el tratamiento de los
datos de carcter personal, y siempre que una ley no disponga lo contrario, ste podr oponerse a
su tratamiento cuando existan motivos fundados y legtimos relativos a una concreta situacin
personal.
1. En tal supuesto el Usuario Responsable de la Aplicacin/Fichero del fichero excluir del
tratamiento los datos relativos al afectado.
2. En este supuesto se seguirn los mismos trmites formales que en el ejercicio de los derechos
de rectificacin o cancelacin.
55
g. Comunicacin al Afectado
1. Una vez recabada la informacin solicitada, se enviar la respuesta al afectado.
2. El S.A.S., mediante el Usuario Responsable de la Aplicacin/Fichero, debe contestar la
solicitud que se le dirija, con independencia de que figuren o no datos personales del
solicitante en su fichero, debiendo utilizar un medio que acredite el envo y la recepcin.
(Instruccin 1/1998 de 19 de enero, de la APD sobre el ejercicio de los derechos de acceso,
rectificacin y cancelacin).
3. La comunicacin al afectado deber realizarse de la manera ms segura posible debido al
contenido de la informacin y a las exigencias del Reglamento 994/99 sobre Medidas de
Seguridad de datos de carcter personal.
4. Se utilizar cualquier medio que permita acreditar el envo y la recepcin, tanto por parte del
S.A.S. como del interesado.
5. El Usuario Responsable de la Aplicacin/Fichero puede obligar al solicitante a la subsanacin
de los defectos que pueda tener su solicitud cuando sta no rena los requisitos que exige la
norma.
6. En caso de denegacin de las solicitudes, se debern argumentar los motivos.
56
Se trata de la peticin de informacin sobre los datos personales incluidos en un fichero. Este derecho se ejerce ante el
responsable del fichero (Organismo Pblico o entidad privada) que es quien dispone de los datos.
6
Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
aportarse DNI y documento acreditativo autntico de la representacin del tercero.
57
Firmado:
58
Consiste en la peticin dirigida al responsable del fichero con el fin de que los datos personales respondan con veracidad
a la situacin actual del afectado.
8
Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
aportarse DNI y documento acreditativo autntico de la representacin del tercero
59
60
Dato incorrecto
Dato correcto
Documento
acreditativo
61
Consiste en la peticin de cancelacin de un dato que resulte innecesario o no pertinente para la finalidad con la que fue
recabado. El dato ser bloqueado, es decir, ser identificado y reservado con el fin de impedir su tratamiento
10
Tambin podr ejercerse a travs de representacin legal, en cuyo caso, adems del DNI del interesado, habr de
aportarse DNI y documento acreditativo autntico de la representacin del tercero
62
Firmado:
63
DESCRIPCIN
Se determinan tres clases de empresas que tienen relacin contractual con el S.A.S.:
Empresas que prestan servicios sanitarios o de otra ndole y a las que se les proporcionan
determinados datos para que puedan prestar el servicio.
a. Encargados de Tratamiento
1. La realizacin de tratamiento por cuenta de terceros deber estar regulada en un contrato que
deber constar por escrito o en alguna otra forma que permita acreditar su celebracin y
contenido, establecindose expresamente que el encargado del tratamiento nicamente
tratar los datos conforme a las instrucciones del Usuario Responsable de la
Aplicacin/Fichero, que no los aplicar o utilizar con un fin distinto al que figure en dicho
contrato, ni los comunicar, ni siquiera para su conservacin, a otras personas. (Artculo 12.2
LO 15/1999).
2. En el contrato se estipular, asimismo, las medidas de seguridad que el Encargado del
Tratamiento est obligado a implementar. (Artculo 12.2 LO 15/1999).
3. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los
comunique o los utilice incumpliendo las estipulaciones del contrato, ser considerado tambin
Usuario Responsable de la Aplicacin/Fichero, respondiendo de las infracciones en que
hubiera incurrido personalmente. (Artculo 12.4 LO 15/1999).
64
6. El contratista no comunicar ningn tipo de datos, propiedad del S.A.S., ni siquiera para su
conservacin, a otras personas o entidades.
65
66
10. El contratista no podr trabajar para la competencia ni para quienes realicen actividades
afines.
11. El contratista deber incluir en los contratos que tenga establecidos con sus trabajadores una
clusula de confidencialidad por la que estos se comprometan a no revelar ni emplear en uso
propio o de terceros la informacin que conozcan en funcin de su cometido tanto durante el
tiempo que dure su contrato, ya sea laboral o de cualquier otro tipo de los admitidos en
derecho, como posteriormente al finalizar dicha relacin, especialmente en los casos
contemplados en el artculo 10 de la Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin
de Datos de Carcter Personal (LOPD).
12. En el caso de los datos de carcter personal sern, de acuerdo con lo dispuesto en la Ley
Orgnica 15/1999, de 13 de diciembre (LOPD), responsables de los datos tanto el
responsable del fichero como el encargado del tratamiento.
13. El contratista informar al S.A.S, antes de realizarlas, de todas las modificaciones que se
vayan a hacer en la estructura de los ficheros que contengan datos de carcter personal, as
como de la intencin de suprimir o crear ficheros que contengan dicha clase de datos a fin de
que el S.A.S, como titular de dichos ficheros, pueda notificar con la debida antelacin a la
Agencia de Proteccin de Datos dichas variaciones.
14. Si a causa del incumplimiento por parte del contratista de lo regulado por la Ley, el S.A.S
fuese sancionado por la Agencia de Proteccin de Datos, dicha sancin ser inmediatamente
repercutida al contratista, debiendo ser abonada por este. Asimismo, resarcir al S.A.S por los
daos y perjuicios que esta sancin, aparte de la multa, le hubiese ocasionado. En el caso de
que no por haber sido debidamente informado fuese sancionado el S.A.S por la Agencia de
Proteccin de Datos, el contratista pagar la sancin que corresponda y asimismo resarcir al
S.A.S por los daos y perjuicios que dicha omisin pudiera causarle.
67
4. El contratista no comunicar ningn tipo de datos, propiedad del S.A.S., ni siquiera para su
conservacin, a otras personas o entidades.
5. El S.A.S ser el propietario de los datos que se traten en los diferentes servicios contratados.
6. Toda informacin, de carcter confidencial que el S.A.S conozca, en virtud del contrato,
acerca de las tcnicas y metodologas empleadas por el contratista en la ejecucin de estos
servicios no podr comunicarla a terceros ni emplearla en uso propio, respondiendo, en
consecuencia, de los prejuicios que del incumplimiento de esta clusula se pudieran derivar
para el contratista.
8. El contratista deber incluir en los contratos que tenga establecidos con sus trabajadores una
clusula de confidencialidad por la que estos se comprometan a no revelar ni emplear en uso
propio o de terceros la informacin que conozcan en funcin de su cometido tanto durante el
tiempo que dure su contrato, ya sea laboral o de cualquier otro tipo de los admitidos en
derecho, como posteriormente al finalizar dicha relacin, especialmente en los casos
contemplados en el artculo 10 de la Ley Orgnica 15/1999, de 13 de Diciembre, de Proteccin
de Datos de Carcter Personal (LOPD).
68
DESCRIPCIN
El registro de incidencias cumple una funcin indispensable para la seguridad de la informacin
corporativa, ya que por un lado permite prever posibles riesgos para la seguridad y por otro
permite controlar en todo momento las incidencias que han afectado al tratamiento de los datos
personales. Este registro servir de base para realizar anlisis sobre cules son las incidencias
ms usuales y valorar la funcionalidad y adecuacin de los procedimientos establecidos como
respuesta ante las mismas.
La LOPD y el Reglamento de Medidas de Seguridad establecen la obligatoriedad del
establecimiento de un registro de incidencias.
a. Incidencias
1. Denominamos Incidencia cualquier anomala que afecte o pudiera afectar a la seguridad de
los datos.
2. Distinguimos dos tipos de incidencias:
Tcnicas:
69
b. Responsable
1. Ser el Responsable de Seguridad quien habilite el Registro de Incidencias de Seguridad, y
que estar a disposicin de todos los usuarios y responsables.
c. Notificacin de Incidencias
1. Es obligacin de todo el personal del S.A.S. notificar cualquier incidencia, o
presuncin/sospecha de incidencia que se produzca y recopilar toda la informacin posible
para optimizar el procedimiento de deteccin del problema.
2. El conocimiento y la no notificacin de una incidencia por parte de un usuario ser
considerada como una falta contra la Seguridad de la Informacin Corporativa por parte de
ste.
3. Las incidencias de tipo tcnico se notificarn en el registro de Mantenimiento del Sistema de
Informacin, y su gestin se regir por el Procedimiento de Mantenimiento del Sistema de
Informacin.
4. Las incidencias de tipo operativo se notificarn al Responsable de Seguridad, quien dejar
constancia en el registro de incidencias de seguridad.
d. Resolucin de la Incidencia
1. El Responsable de Seguridad, conjuntamente con cualquier persona que tenga relacin con la
incidencia, o con la informacin a la que afecta, determinarn las acciones para eliminar, en la
medida de lo posible, el mal causado, y evitar una posible repeticin.
70
e. Auditora
1. El Responsable de Seguridad, analizar con periodicidad al menos trimestral las incidencias
registradas, para independientemente de las medidas particulares que se hayan adoptado en
el momento que se produjeron, adoptar las medidas correctoras que limiten esas incidencias
en el futuro.
71
Datos restaurados:
72
DESCRIPCIN
Soportes informticos son todos aquellos medios de grabacin y recuperacin de datos que se
utilizan para realizar copias o pasos intermedios en los procesos de la aplicacin que gestiona la
informacin corporativa.
Dado que la mayor parte de los soportes que hoy en da se utilizan, como disquete y CD-ROMs,
son fcilmente transportables, reproducibles y/o copiables, es evidente la importancia que para la
seguridad de la informacin corporativa, y en especial para la seguridad de los datos de carcter
personal, tiene el control de estos medios.
a. Identificacin de Soportes
1. Los soportes que contengan informacin corporativa, bien como consecuencia de operaciones
intermedias propias de la aplicacin que los trata, o bien como consecuencia de procesos
peridicos de respaldo o cualquier otra operacin espordica, debern estar claramente
identificados (artculo 13.1 RD 994/1999) con una etiqueta externa que indique:
Los soportes enviados por la Tesorera General de Seguridad Social con los datos del SIL
correspondientes a las altas y modificaciones de usuarios de la Seguridad Social vienen
identificados con un cdigo, el nombre de la ciudad de donde provienen los datos, la fecha de
copia de esos datos y el nmero de registros que contiene.
73
c. Almacenamiento de Soportes
1. Los soportes que contengan informacin corporativa debern estar almacenados en lugares a
los que solo tengan acceso personas autorizadas a acceder a dicho fichero.
El Servicio de Informtica del SAS almacena en armarios ignfugos en el CTI y en la segunda
planta del Servicio de Informtica en formato CD-ROMS, la informacin del SIL enviada por la
Tesorera General de la Seguridad Social.
11
El RD 994/1999 establece en su artculo 13.2 que la autorizacin ser del Responsable del
Fichero. Sin embargo para una ms gil operativa se establece en el S.A.S. que la autorizacin
ser del Usuario Responsable de la Aplicacin/Fichero por ser quien vela en su operativa diaria
por el cumplimiento de las normas establecidas sobre la informacin que trata.
74
Tipo de soporte
Fecha y hora de entrada o salida
Emisor (entradas) y destinatario (salidas)
Responsable de recepcin (entradas) y de entrega (salidas)
Tipo de informacin que contiene
Forma de envo
e. Destruccin de Soportes
1. Aquellos medios que sean reutilizables, y que hayan contenido copias de informacin
corporativa, debern ser borrados fsicamente antes de su reutilizacin, de forma que los
datos que contenan no sean recuperables. (Artculo 20.3 RD 994/1999).
2. Todos aquellos soportes que dejen de tener su utilidad y puedan ser destruidos conforme al
apartado anterior (1) sern dados de baja en el apartado correspondiente del registro de
soportes. En el Servicio de Informtica del SAS, los soportes recibidos de la Tesorera General
del SAS con los datos del SIL se destruyen cada cinco aos segn el artculo 17 de la Ley
41/2002 de 14 de noviembre. Dichos soportes se llevan a la sala de operadores del CTI y all
son destruidos mediante una maquina trituradora de papel y de CDS.
La informacin corporativa confidencial o de carcter personal del Sistema Sanitario Pblico de
Andaluca se encuentra centralizada en los servidores de Base de Datos ubicados en el Servicio
de Informtica de los SSCC del SAS. El acceso a estos datos as como la gestin de los soportes
con las copias de seguridad se rigen por los puntos 7, 8 y 9 de este manual, por lo que dentro de
este apartado, nos centramos exclusivamente en la entrada y fundamentalmente salida de datos,
tanto puntual como peridica que se realizan de los datos que se encuentran centralizados en el
CTI (CPD del SAS).
El procedimiento para la solicitud al CTI de cualquier conjunto de datos del SSPA ser el siguiente:
75
En los botones de Consultar ENTRADAS y Consultar SALIDAS nos muestran en pantalla las
diferentes entradas y salidas registradas.
En los botones de Informe ENTRADAS e Informe SALIDAS nos permiten imprimir las diferentes
entradas y salidas registradas.
76
77
Firma: ______________________________
78
DESCRIPCIN
a. Confidencialidad
1. No estar permitido facilitar ninguna informacin acerca de las medidas de seguridad en vigor,
sistema de almacenaje, contenidos, procedimientos de uso normal y emergencia, etc., siendo
considerada esta informacin como confidencial al mximo nivel.
b. Responsables
1. El Administrador de Sistema/Red/BD es el responsable de realizar las copias de respaldo, de
realizar la verificacin de que las copias se hayan hecho de forma correcta y de realizar las
recuperaciones de la informacin, as como de tener un registro en el que se anotarn todas
las posibles incidencias que ocurran al realizar las copias y todas las recuperaciones de
informacin que se tengan que hacer.
2. Al Responsable de Seguridad le corresponde la supervisin de los soportes de grabacin de
las copias de respaldo y de las relaciones con las empresas externas (siempre que stas
lleven a cabo labores de copias de respaldo y desarrollen la labor de custodia y
aseguramiento de las copias de respaldo), toda vez que se cumpla con las garantas
contractuales y legales necesarias para garantizar la seguridad y confidencialidad de las
copias de respaldo, marcando las responsabilidades de cada parte en estas funciones. En el
Servicio de Informtica del SAS, el encargado de supervisar los soportes es el Responsable
de los Operadores del CTI. Tambin se encarga de comunicarse con los trabajadores de las
empresas encargadas de administrar los servidores, los cules le indicarn a qu informacin
tiene que hacerle copias de respaldo y en qu servidor se encuentra dicha informacin.
3. Para poder proceder a la recuperacin de informacin, a partir de las copias de respaldo, se
tendr que recabar la autorizacin previa del Responsable del Fichero a peticin del Usuario
Responsable de la Aplicacin/Fichero (Artculo 21.2 RD 994/1999).
79
i. Entorno sanitario:
Si la informacin pertenece al entorno sanitario, las caractersticas del equipamiento fsico que
realiza las copias son las siguientes:
Entorno Sun:
-
El hardware que contienen los datos es un SF15K de Sun con cabina de discos Hitachi
9980V. La capacidad de almacenamiento es de 16 Terabytes.
Entorno Fujitsu:
-
El hardware que contienen los datos es un PrimePower 2500 de Fujitsu con cabina de discos
Ethernus 6000. La capacidad de almacenamiento es de 32 Terabytes.
80
APLICACIONES
Las aplicaciones que pertenecen al entorno sanitario y se almacenan en los servidores que se
encuentran en el CTI del SAS son las siguientes:
a) Entorno Transaccional(se pueden realizar operaciones de actualizacin, de
modificacin y de consulta sobre los datos de las bases de datos):
DIRAYA: Citacin, Prescripciones, Sicomop, Maco, Vacunas, Dispensaciones,
Visados, HS Atencin Primaria, HS nica, HS Urgencias, HS Consultas Externas,
Derivaciones, Estructura, Sirega, mdulo de anlisis y mdulo de comunicaciones.
BDU: Gadu, Intersas, Web-Services.
OTRAS APLICACIONES SANITARIAS: Aplicacin para la Gestin de la Demanda,
Segunda Opinin Mdica, Libre Eleccin de Mdico Especialista y Hospital, Farma,
Registro de Voluntades Vitales Anticipadas, Plan Integral Diabetes, Sistema de
Informacin del Fondo de Cohesin, Acta, Sigilum XXI, Sigap, Cdigo Numrico
Personal y @goras.
b) Entorno DataWarehouse(solamente se pueden realizar operaciones de consulta
sobre los datos de las bases de datos):
SANITARIOS: Facturacin, Recetas, Semad, Semi, Inforcoan, MTI-BDU, MTI-Citas,
MTI-Urgencias.
Las distintas polticas que se aplican en la realizacin de las copias de respaldo son las
siguientes:
1) DATOS: Entornos Transaccionales:
En los entornos de DW se realiza una carga de datos una vez al mes. Despus de
dicha carga se para la BD (estn en modo NOARCHIVELOG) y se realiza una
copia completa de la BD. Esta copia se hace directamente en cinta debido al
elevado volumen de GB que ocupan.
81
3) SISTEMAS:
Se realiza una copia completa cada fin de semana y una incremental diaria donde
se guarda la configuracin de cada equipo.
Diariamente, sacaremos una copia diaria de todos las bds para trasladar a una
ubicacin diferente, la ubicacin actual es una caja fuerte en los Servicios
Centrales del SAS, en la Avenida de la Constitucin. Este juego de cintas tendr
una rotacin semanal, el pool de cintas al que pertenece es denominado
Productivos
Mensualmente, sacaremos una copia histrica (5 aos) de todos los datos para
trasladar a una ubicacin diferente, la ubicacin actual es una caja fuerte en los
Servicios Centrales del SAS, en la Avenida de la Constitucin. Este juego de
cintas tendr una rotacin quinquenal, el pool de cintas al que pertenece es
denominado Productivos_Historicos
7.3.2. Entorno Recursos Humanos y Econmico:
Si la informacin pertenece al entorno de recursos humanos y econmico, las caractersticas del
equipamiento fsico que realiza las copias son las siguientes:
-
El hardware que contienen los datos es un NovaScale de Bull con cabina de discos CX400
82
1) DATOS:
2) SISTEMAS:
Se realiza una copia mensual de todo el sistema, tanto Windows como GCOS.
Identificador de la cinta
83
Identificador de la cinta
Juego de cintas
El etiquetado externo de los soportes facilita su rpida identificacin. Las copias de seguridad
gestionadas por el CTI del SAS se identifican mediante el nombre del pool, del job o proceso o
tambin con el nombre del servidor( cuando se hace una copia completa de ese servidor) ,
dependiendo de la copia que se haga. Tambin vienen identificadas de forma nica mediante un
cdigo de barras impreso en el lateral del soporte donde se almacena la copia de seguridad.
84
85
Tipo de soporte
Fecha y hora
Forma de envo
Toda la informacin de entrada/ salida de copias de seguridad queda registrado en el software que
gestiona los robots donde se realizan las copias de seguridad. Las caractersticas de dichos robots
viene descrita en el apartado 7.3 Realizacin de Copias de Respaldo y Periodicidad.
86
i. Recuperacin de Informacin
La Recuperacin de Informacin contempla la recuperacin de ficheros, tablas u otras estructuras
de almacenamiento desde las copias de salvaguardia slo ante una incidencia, y utilizando
procesos especficos no planificados.
1. Recibida una incidencia (segn el procedimiento habilitado para ello), el Responsable de
Seguridad, conjuntamente con el Administrador de Sistemas y, si la incidencia lo requiere, los
Responsables del Tratamiento y los responsables Informticos afectados, analizarn la misma
y decidirn, si es preciso, qu ficheros o tablas se recuperarn y a partir de qu copias de
salvaguardia, para garantizar la reconstruccin y coherencia de los datos de los aplicativos.
2. Ser necesaria la autorizacin por escrito del Responsable del Fichero para la ejecucin de
los procedimientos de recuperacin de los datos. (Artculo 21.2 RD 994/1999).
En el S.A.S. esta funcin ser delegada al Usuario Responsable de la Aplicacin/ Fichero.
La autorizacin se realizar a travs de la aplicacin de Mantenimiento del Sistema de
Informacin, dando el Usuario Responsable de la Aplicacin/ Fichero su visto bueno (OK del
responsable) a una incidencia generada a tal efecto.
3. El Administrador del Sistema/Red/Base de Datos ser el encargado de recuperar la
informacin requerida.
4. En el registro de incidencias deber consignarse; los procedimientos realizados para la
recuperacin de los datos, la persona que ejecuta el proceso, los datos restaurados, los datos
que ha sido necesario grabar manualmente en el proceso de recuperacin. (Artculo 21.1 RD
994/1999).
La solicitud formal de peticin de una recuperacin de datos que se utiliza es la siguiente:
87
DATOS A RESTAURAR:
___________________________________________________________________________________________
_________________________________________________________________________________________________
_________________
_________________________________________________________________________________________________
_________________
_________________________________________________________________________________________________
_________________
_________________________________________________________________________________________________
_________________
_________________________________________________________________________________________________
_________________
88
FIRMA:
_________________________________________________________________________________________________
__________
OBSERVACIONES:
89
90
a. Documentacin Tcnica
En la documentacin tcnica se explicar, al menos:
Control de versiones.
Modelo de datos.
Entorno de comunicaciones (tipo de red, mbito, conexin con otras redes, controles de
acceso, etc.)
b. Documentacin de Usuario
En la documentacin para el usuario se explicar:
Diccionario de datos.
En caso de existir distintos perfiles de usuario para una misma aplicacin o sistema, se dispondr
de un manual especfico por cada uno de los perfiles adecundose segn los permisos de acceso
que se dispongan.
Toda la documentacin tecnica y de usuario de cada una de las aplicaciones del S.A.S declaradas
ante la Agencia Espaola de Proteccin de Datos, se encuentran en la siguiente direccin del
servidor sc-sas-6:
\\sc-sas-6\SSCC\ServicioInformatica\CarpetasServicio\CTI\Software
Tambin se puede acceder a la documentacin relativa a la aplicacin DIRAYA a travs de la
siguiente URL:
http://10.234.22.105/dirayainforma/
91
9.
OBJETIVO
Describir el control de acceso a la informacin corporativa implantado, garantizando que los
usuarios tendrn acceso autorizado nicamente a aquellos datos y recursos que precisen para el
desarrollo de sus funciones. (Artculo 12 RD 994/1999).
DESCRIPCIN
a. Identificacin y Autenticacin
El responsable del fichero establecer un mecanismo que permita la identificacin de forma
inequvoca y personalizada de todo aquel usuario que intente acceder al sistema de informacin y
la verificacin de que est autorizado (Artculo 18.1 RD 994/1999).
1. El Sistema de Informacin, que facilita el acceso a informacin corporativa, tendr su acceso
restringido mediante un cdigo de usuario y una contrasea.
La contrasea es una serie arbitraria y secreta de caracteres que hay que suministrar para
poder acceder a sistemas, subsistemas, aplicaciones, programas, funciones, etc.
Las contraseas personales constituyen uno de los componentes bsicos de la seguridad de
los datos, y deben por tanto estar especialmente protegidas. Como llaves de acceso al
sistema, las contraseas debern ser estrictamente confidenciales y personales, y cualquier
incidencia que comprometa su confidencialidad deber ser inmediatamente comunicada al
Administrador de Red/Sistemas y subsanada en el menor plazo de tiempo posible.
2. Todos los usuarios autorizados para acceder a determinada informacin corporativa, debern
tener un cdigo de usuario que ser nico, y que estar asociado a su contrasea individual
correspondiente, que slo ser conocida por el propio usuario.
3. Cada usuario ser responsable de la confidencialidad de su contrasea y, en caso de que la
misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deber
registrarlo como incidencia y proceder a su cambio o que sta sea cambiada por el
Administrador de Red/Sistemas.
4. Solamente, para aquellos casos excepcionales en los que sea necesario continuar con las
funciones que realizaba la persona ausente (debido a una baja o ausencia temporal no
prevista), el Director del Centro, rea o Servicio o en caso de ficheros de carcter personal el
Usuario Responsable de la Aplicacin/Fichero, podr solicitar a los administradores el acceso
a sus datos, dejando constancia en el registro de Mantenimiento del Sistema de Informacin.
5. En el caso de que el Administrador de Sistemas solicite la contrasea/password para tareas
de mantenimiento, la misma deber ser cambiada inmediatamente despus que se termine
con dichas tareas.
6. Cada usuario tiene un perfil determinado. Introduciendo su usuario y contrasea podr
acceder al Sistema de Informacin del S.A.S. donde estarn aquellas aplicaciones a las que
tiene acceso en virtud del perfil asignado.
7. Tras tres intentos de acceso fallidos, por equivocacin del usuario al introducir su clave, se
92
.
3. mbito: Donde el usuario puede trabajar
4. Aplicacin: Dependiendo del perfil de cada usuario, este podr
acceder a una aplicacin u otra.
El mecanismo de identificacin es el siguiente:
Un usuario que quiera acceder a la Historia Digital de Salud del Ciudadano (DIRAYA), tendr que
autenticarse introduciendo su login y password. Una vez introducido estos datos son encriptados
mediante el algoritmo de encriptacin MD5 y enviados para su procesamiento a MACO. En MACO
dichos datos son procesados.
Los siguientes ficheros se validan contra MACO (Mdulo de Administracin Centralizada de
Operadores), que es una aplicacin que se encarga de la gestin de los usuarios del DIRAYA:
Nombre del Proyecto: BDU
Gadu
Webservices 2.2
93
Gestor Impresin
HS nica
HS Atencin Primaria- CAP
HS Consultas Externas- CAE
HS Urgencias-CAP y CAE
Historia de Salud- HSMINI
Pruebas Funcionales
Receta XXI
Sirega
Vacunas
Visados
Maco
Pruebas Diagnsticas por Imagen
Anlisis
Diraya Informa
MTI- BDU
94
Correo
Web SAS
Intranet SAS
Central Logstica de Compra
Seguimiento Implantacin Terminales Atencin Especial
Para la contrasea, cada una de las aplicaciones tiene un script el cul te genera las
claves de forma aleatoria. El usuario puede cambiar dicha clave.
g) El usuario tiene tres veces como mximo para autenticarse en el sistema antes de
que el sistema se bloquee.
h) Para la aplicacin Correo, los datos con el usuario y contrasea son enviados al
responsable de informtica de cada centro, quien ser el encargado de configurar, con
esos datos, las cuentas de correo de cada uno de los usuarios.
Para el fichero Registro de Implantes Quirrgicos, las caractersticas son las siguientes:
95
i)
j)
Para el fichero LMEH, las caractersticas del identificador de usuario y contrasea son:
k) Para el nombre de usuario, el primer dgito corresponde a un numero del 1 al 8 que se
corresponde con una provincia. Estos nmeros se corresponden con cada una de las
ocho provincias andaluzas ordenadas por orden alfabtico. En este caso a la provincia
de Almera le correspondera el 1, a Cdiz el 2...El segundo dgito corresponde a una
letra. Dependiendo de si es un hospital, le correspondera una h, si es un distrito le
correspondera una d y si es un centro de salud, le correspondera cs. A continuacin
vienen otros dos dgitos con las dos primeras iniciales de la provincia donde se
encuentra y hasta completar ocho dgitos se escriben nmeros de forma creciente
comenzando en el 001.
l)
m) La primera vez que entra se le dice al usuario que cambie la contrasea, pero no es
obligatorio.
n) Cada tres meses el usuario tiene que cambiar la contrasea.
o) La contrasea no tiene un nmero mnimo de caracteres alfanumricos a introducir
pero si un mximo de 20.
p) El usuario puede realizar tantos intentos de conexin a la aplicacin ya que la
aplicacin no cuenta con el sistema de bloqueo.
q) El procedimiento para que el usuario se de alta en la aplicacin es el siguiente:
Rellena un formulario de solicitud de alta, el cual se encuentra en el Portal CTI. Dicha
solicitud la manda a CEGES y CEGES se la manda al operador de la aplicacin
LMEH como si fuera una incidencia y este la tramita.
r)
Para el fichero INTERSAS la identificacin del usuario y contrasea para poder entrar en la
aplicacin se realiza mediante certificados digitales.
Para las siguientes aplicaciones del proyecto RRHH:
Gerhonte
Cnp
Bolsa de empleo
Las caractersticas del identificador de usuario y contrasea son:
s) Para el nombre de usuario, el primer dgito corresponde a un numero del 1 al 8 que se
corresponde con una provincia. Estos nmeros se corresponden con cada una de las
ocho provincias andaluzas ordenadas por orden alfabtico. En este caso a la provincia
de Almera le correspondera el 1, a Cdiz el 2...El segundo dgito corresponde a una
letra. Dependiendo de si es un hospital, le correspondera una h, si es un distrito le
correspondera una d. Los dos siguientes dgitos son para identificar el centro dentro
de la provincia, por ejemplo, si es el Hospital Virgen del Roco, los dos dgitos sern
96
c. Altas de Usuarios
1. La solicitud de alta de un nuevo usuario en los Sistemas del S.A.S. se realizar a travs de la
pgina de la intranet del S.A.S.:
http://portal-cti.sas.junta-andalucia.es/alta_usuarios.htm
Aqu estn todos los formularios requeridos para dar de alta a los usuarios en las distintas
aplicaciones del S.A.S. y el procedimiento que se ha de seguir. En particular, disponemos de
altas para:
97
Nombre
Primer apellido
Segundo apellido
DNI
Centro de Trabajo
Permisos de acceso especficos
Fecha efectiva del alta
7. En caso excepcionales en los que no se puedan ejecutar los circuitos ordinarios, se llevar a
cabo un circuito especial. Ver Anexo G.
98
d. Bajas de Usuarios
1. Ser funcin del rea de Recursos Humanos comunicar las bajas del personal del S.A.S., a
travs de los registros de Mantenimiento del Sistema de Informacin, a fin de anular todos los
permisos de acceso a la informacin corporativa.
Nunca se aceptar una notificacin telefnica de baja de usuario.
2. Ser funcin del responsable del personal subcontratado comunicar las bajas de su personal
que presta servicios para el S.A.S., a travs de los registros de Mantenimiento del Sistema de
Informacin, a fin de anular todos los permisos de acceso a la informacin corporativa.
Nunca se aceptar una notificacin telefnica de baja de usuario.
3. En la solicitud de baja debern aparecer los siguientes datos:
Nombre
Primer apellido
Segundo apellido
DNI
Login
Centro de trabajo
Fecha efectiva de la baja
e. Modificacin de Permisos
1. Cualquier modificacin en los permisos de acceso de un usuario a informacin corporativa
deber ser solicitado, por el responsable correspondiente de la informacin a la que afecte, en
los registros de Mantenimiento del Sistema de Informacin.
2. En la solicitud de modificacin de permisos debern aparecer los siguientes datos:
Nombre
Primer apellido
Segundo apellido
DNI
Login
Centro de Trabajo
Aplicacin o recurso al que se requiere/deniega acceso
Fecha efectiva en la que se requiere/deniega el acceso
99
f. Almacenamiento de Contraseas
1. Cuando el mecanismo de autenticacin se base en la existencia de contraseas existir un
procedimiento de asignacin, distribucin y almacenamiento que garantice su confidencialidad
e integridad (Artculo 11.2 RD 994/1999).
2. Las contraseas se cambiarn con la periodicidad que se determine en el documento de
seguridad y mientras estn vigentes se almacenarn de forma ininteligible (Artculo 11.3 RD
994/1999).
3. El Administrador de Sistemas/Red realizar el seguimiento y control del funcionamiento de la
administracin de contraseas del sistema.
100
101
10.
Registro de Accesos
OBJETIVO
Describe las acciones establecidas para el registro de accesos a la informacin corporativa de
obligado cumplimiento por la LOPD y aquellas necesarias para un correcto control de seguridad.
DESCRIPCIN
a. Registros normalizados
1. Existir un registro de accesos/uso para controlar los recursos de informacin corporativa.
2. El Responsable de Seguridad y el Responsable de Sistemas y Tecnologas de la Informacin
son responsables de determinar los registros de accesos que se llevarn a cabo en cada
sistema del S.A.S.
3. El Administrador de Sistemas/Red/Base de Datos designado, ser el encargado de activar el
sistema de registro de accesos.
4. El Responsable de Seguridad revisar peridicamente la informacin registrada elaborando un
informe de incidencias al menos una vez al mes (Artculo 24.5 RD 994/1999).
5. Cualquiera de los registros no podrn ser desactivados en ningn caso. (Artculo 24.3 RD
994/1999).
6. El perodo mnimo de conservacin de la informacin de los registros ser de dos aos
(Artculo 24.4 RD 994/1999).
7. Los servicios y accesos a Red Corporativa tendrn registros equivalente a los de la LSSI.
102
Usuario
Fecha y hora de conexin
Nombre del fichero de carcter personal al que accede
Registro accedido
Tipo de operacin realizada en el registro
Usuario
Fecha y hora
Nombre del fichero de carcter personal al que accede
Condicin de seleccin (sentencia SQL)
d. Relacin de Aplicaciones/Fichero
A continuacin se deben detallar los registros de nivel alto en cada Aplicacin o Fichero afectado
por este documento:
1. Los registros de la Aplicacin "....." guardar la siguiente informacin:
103
11.
1. Al margen de todas las auditoras establecidas en cada uno de los procedimientos, se realizar una
auditora al menos cada dos aos, externa o interna, que dictamine el correcto cumplimiento y la
adecuacin de las medidas del presente documento de seguridad, identificando las deficiencias y
proponiendo las medias correctoras necesarias. Los informes de auditora sern analizados por el
Responsable de Seguridad, quien propondr al Responsable del Fichero las medidas correctoras
correspondientes.
2. Los resultados de dichas auditoras sern documentados.
104
ANEXO B. DOCUMENTOS
GENERAL.
DE
NOTIFICACIN
DISPOSICIONES
DE
CARCTER
Previa notificacin a la Consejera de Salud, en el BOJA nm. 164 del 27 de agosto de 2003 se publica la
siguiente:
ORDEN de 11 de agosto de 2003, por la que se crean, modifican y suprimen ficheros automatizados de
datos de carcter personal del Servicio Andaluz de Salud
Una vez remitido el escrito a la Agencia Espaola de Proteccin de Datos se nos notifican los cdigos de
inscripcin de los ficheros:
ACCIN
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Inscripcin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Modificacin
Supresin
Supresin
Supresin
Supresin
Supresin
FICHERO
FARMA
GESTIN DE PERSONAL
BASE DE DATOS DE USUARIOS-BDU
ENCUESTA DE SATISFACCIN A USUARIOS
PROGRAMA ACTA
APODERADOS
RECLAMACIONES ASESORA JURDICA
CONTABILIDAD
ACTIVIDAD CONTENCIOSA DEL ORGANISMO
USUARIOS DE SISTEMA DE INFORMACIN
PATOLOGAS DE ATENCIN URGENTE
PLAN DE VACUNACIN DE ANDALUCA
LIBRE ELECCIN DE MDICO Y HOSPITAL
DE PARTOS Y RECIN NACIDOS
GESTIN PRESTACIONES FARMACUTICAS
C.M.B.D.
INSUFICIENCIA RENAL CRNICA (PACIENTES)
METABOLOPATAS
HISTORIAS CLNICAS CENTROS DE SALUD
USUARIOS DEL SISTEMA SANIT. CENTROS HOSPITALARIOS
HISTORIAS CLNICAS CENTROS HOSPITALARIOS
SISMA
REGISTRO DE PERSONAL. DICCIONARIO RETRIBUCIONES.
GESTALON
CITA PREVIA EN CENTROS ESPECIALIZADOS PERIFRICOS
REGISTRO DE TRANSPLANTE DE MDULA SEA
USUARIOS DEL SISTEMA SANITARIO CENTROS DE SALUD
CDIGO AEPD
2041800101
2041800102
2041800103
2041800104
2041800105
2041800106
2041800107
2041800108
2041800109
2041800111
2041800112
2041800113
2041800114
1970630004
1970630007
1970630008
1970630009
1970630011
1970630015
1970630016
1970630017
1970630019
1970630005
1970630006
1970630010
1970630012
1970630014
105
106
107
Citaweb
Derivaciones
Pruebas Funcionales
Buzn
Maco
Estructura
Web Services
Gestor de Impresin
Historia nica
Vacunas
Historia Salud
Sirega
Dibaco
Diraya Informa
Visados
Receta XXI
108
b) Bloque de Primaria
Las BBDD de estos ficheros estn ubicados fisicamente en el CTI del SAS. Se encuentran almacenados
en cuatro servidores, (conectados dos a dos en un cluster, de los cules dos estn conectados en Sevilla
y los otros dos en Mlaga) de Fujitsu, los Prime Power.
El gestor de base de datos de dichas aplicaciones es Oracle 9i.
El sistema operativo que utilizan los 15k es Solaris versin 9.
CAP
URG
CCAP
CURG
c) Bloque de Especializada
Las BBDD de estos ficheros estn ubicados fisicamente en cada uno de los hospitales, en servidores,
cuyas caractersticas son:
CAE
CCAE
URG
CURG
109
Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre de 1995, relativa a
la Proteccin de las personas fsicas en lo que respecta al Tratamiento de Datos Personales y a
la libre circulacin de estos datos.
110
Ley 8/1986, de 6 de mayo, de creacin del Servicio Andaluz de Salud (en los aspectos vigentes).
111
112
2.Definiciones.
A los efectos del presente Manual se entender por:
2.1. Administracin de la Junta de Andaluca. Todos los servicios dependientes de la
Administracin de la Junta de Andalucay de sus Organismos Autnomos. Asimismo, se
consideran incluidas las empresas y otras entidades contempladas en los artculos 6 y 6 bis de la
Ley 5/1983, de 19 de julio, General de la Hacienda Pblica de la Comunidad Autnoma de
Andaluca, cuando utilicen sistemas de informacin y/o redes de comunicacin propiedado bajo
supervisin de la Administracin de la Junta de Andaluca, como quedan definidas en este punto.
2.2. Redes de comunicacin. Infraestructura de telecomunicacin accesible por los
usuarios, tanto de accesoa red interna o intranet como de accesoa red externa o extranet, correo
electrnicoo e-mail o cualquier otro instrumento de transmisin telemtica o acceso a la
informacin, mediante la conexin de medios informticos, que sean propiedad o estn bajo
supervisin de la Administracin de la Junta de Andaluca.
2.3. Usuarios. Ser toda persona fsica que tenga autorizado el acceso a los sistemas de
informacin o redes de comunicaciones de la Administracin de la Junta de Andaluca.
2.4. Recursos informticos. Todos los medios de cualquier naturaleza, fsicos, lgicoso
humanos, que intervienen en los sistemas de informaciny en las redes de comunicaciones.
2.5. Aplicacin informtica. Programa o conjunto de programas informticos que tienen por
objeto el tratamiento electrnico de la informacin.
3. Ambito de aplicacin.
3.1. Las reglas que comprenden este Manual sern de aplicacina todas los usuarios,
cualquiera que sea el nivel o funcin que ejerza.
3.2. Las reglas que comprenden este Manual sern de aplicacin para todo uso de los
sistemas de informacin y redes de comunicacin de la Administracin de la Junta de Andaluca.
4. Utilizacin de los equipos informticos.
4.1. La Administracin de la Junta de Andaluca ser quin ponga a disposicin de los
usuarios los medios y equipos informticos para el cumplimiento de sus obligaciones laborales. En
consecuencia, dichos equipos informticos no estn destinados al uso personal o extraprofesional
de los usuarios, por tanto, stos deben conocer que no gozan del uso privativo de los mismos.
4.2. Los usuarios debern destinar los equipos informticos de que sean provedos,a usos
compatibles con la finalidad de las funciones del servicio al que se encuentren adscritos y que
correspondan a su trabajo.
4.3. Los usuarios debern cuidar los equipos informticos que les sean facilitados, no
procediendo a alterarlos o modificarlos.
4.4. Los usuarios no tienen permitido conectar a los equipos informticos que se les
provea, otros equipos distintos de los que tengan instalados.
113
114
115
116
8.2. Queda prohibido conectarse a la red corporativa de comunicaciones por otros medios
distintosa los definidos y administrados por la Administracin de la Junta de Andaluca.
8.3. Queda prohibido conectarse a la red corporativa de comunicaciones con cualquier
equipo informtico distinto a los instalados para tal fin por la Administracin de la Junta de
Andaluca. El personal externo que deba conectarse a los entornos corporativos desde sus
equipos requerir la autorizacin y, en su caso, la supervisin del responsable de los sistemas de
informacin pertinente.
8.4. Los usuarios tienen prohibido intentar obtener otros derechos o acceso distintos a los
que tienen asignados. Asimismo, no deben intentar distorsionar o falsear los registros logs de
los sistemas de informacin.
9. Acceso a internet.
9.1. El acceso a internet por los usuarios se realizar nicamente empleando los medios y
a travs de la red establecida a estos efectos por la Administracin de la Junta de Andaluca. Por
lo que no est permitido su acceso llamando directamente a un proveedor de servicio de acceso y
usando un navegador, o con otras herramientas de internet conectndose mediante un mdem.
9.2. Las conexiones a internet que se produzcan a travs de la red corporativa tendrn
una finalidad profesional. En este sentido, cada usuario autorizado emplear estas conexiones
exclusivamente para el ejercicio de las tareas y actividades que corresponden a las funciones de
su puesto de trabajo.
9.3. No deber accederse en ningn caso a direcciones de internet que tengan un
contenido ofensivo o atentatorio de la dignidad humana.A estos efectos,la Administracin de la
Junta de Andaluca podr restringir el acceso a determinados servidores de contenidos en internet.
9.4. Las autorizaciones de acceso a internet se concedern acordes con las funciones del
puesto que desempee el usuario, producindose una segmentacin de perfiles que habilite las
conexiones.
9.5. La Administracin de la Junta de Andaluca regular y controlar los accesos a
internet. Se podr proceder a monitorizar las direcciones de acceso y el tiempo de conexin de los
usuarios a internet, as como la limitacin de su uso en razn de las funciones que ejerza, por
motivos de seguridad o rendimiento de la red.
9.6. La Administracin de la Junta de Andaluca registrar todos los accesos a servidores
de la red, incluyendo al menos la informacin de: direcciones de pginas visitadas, fecha y hora,
ficheros descargados, usuario y puesto desde el que se ha efectuado la conexin.
9.7. Queda terminantemente prohibida la instalacin de proxys por los usuarios.
9.8. Las transferencias de datos desde o a internet se realizarn exclusivamente cuando lo
exija el ejercicio de las funciones del puesto de trabajo. En todo caso, los usuarios debern tener
en cuenta, antes de utilizar la informacin proveniente de la red, si dicho uso es conforme a las
normas que protegen la propiedad intelectual e industrial.
10. Correo electrnico.
10.1. La Administracin de la Junta de Andaluca suministrar a cada usuario una
direccin individual de correo electrnico, procedindole a instalar y configurar una cuenta de
correo. El acceso a dicha cuenta de correo se efectuar mediante una clave personal.
Servicio Andaluz de Salud
117
10.2. Los usuarios tienen prohibido terminantemente el uso en las redes de comunicacin
de otras cuentas de correo electrnico distintas a las facilitadas por la Administracin de la Junta
de Andaluca.
10.3. El uso por los usuarios del correo electrnico habilitado por la Administracin de la
Junta de Andaluca es estrictamente profesional, es decir, para el ejercicio de las funciones que
corresponde al puesto de trabajo que desempee.
10.4. Los usuarios tienen prohibido expresamente el acceso a cuentas de correos que no
le hayan sido asignadas. Para que un usuario distinto pueda acceder a una cuenta de correo ser
preciso que el titular de sta lo autorice por escrito, salvo los supuestos de cuentas de correo
asociadas a puestos singulares.
10.5. Los usuarios no pueden interceptar, leer, borrar, copiar o modificar el correo
electrnico dirigido a otros usuarios.
10.6. Queda prohibido para todos los usuarios el uso abusivo del correo electrnico,
utilizando mensajes con contenidos ofensivos o atentatorios a la dignidad humana. Asimismo,
queda prohibido el envo deliberado de cualquier clase de programa o virus que puedan causar
perjuicios en los sistemas de informacin de la Administracin de la Junta de Andaluca o a
terceros.
10.7. Los usuarios tienen prohibido el uso abusivo del sistema de listas de correos para el
envo de mensajes de forma masiva o piramidal.
10.8. Con la finalizacin de la relacin funcionarial o laboral se interrumpir el acceso a la
cuenta de correo del usuario.
11. Del personal con responsabilidades en los sistemas de informacin.
Se encontrarn exceptuados de aplicar las instrucciones precedentes que interfieran en su
cometido aquellas personas adscritas a puestos de trabajo que tienen funciones de diseo,
desarrollo, operacin o administracin de los sistemas de informacin y de las redes de
comunicacin. Slo se entendern autorizados para el ejercicio de tales funciones cuando sigan
estrictamente las directrices de los responsables de la Administracin de la Junta de Andaluca.
Adems, debern tener especial consideracin con:
11.1. No acceder a la informacin o datos aprovechando sus privilegios de administracin.
Slo podrn acceder previa autorizacin del responsable del fichero para el ejercicio de las
funciones que le corresponda.
11.2. Custodiar con especial cuidado identificadores y contraseas que den acceso a los
sistemas con privilegio de administrador.
11.3. Procurar que la informacin almacenada y tratada por los sistemas de informacin
sea salvaguardada mediante copias de seguridad y para la recuperacin de datos peridicamente,
al menos con carcter semanal, salvo que en dicho perodo no se haya producido actualizacin de
los datos.
11.4. Que los soportes informticos que contengan datos de carcter personal estn
convenientemente registrados en un inventario actualizado, donde figure el tipo de informacin
que contienen y las personas autorizadas a su manejo. Que se cumpla escrupulosamente el
control de acceso restringido a personal autorizado en los locales, edificios o recintos en que se
Servicio Andaluz de Salud
118
119
La peticin expresa por parte del usuario/operador final a travs llamada de telfono
o correo electrnico corporativo a CEGES y los datos proporcionados por este del
profesional del centro, ya con acceso a Diraya, que actuar como tercero de
confianza.
El contacto desde CEGES con el tercero de confianza a travs del telfono para
comunicarle que le ha habilitado temporalmente el acceso a la opcin de
mantenimiento de contraseas de Diraya e informarle del procedimiento a seguir.
120
El contacto final que debe realizase desde CEGES con el usuario/operador final
afectado confirmando que el tercero de confianza le ha proporcionado los datos de
acceso. Desde CEGES se le informar que el sistema le obligar a cambiar la
contrasea en el primer acceso y que su vigencia es de 72 horas.
Perfil
Administrador Delegado
CEGES (procedimiento
especial)
Diraya Produccin
MACO
W2K-Citrix
SI
SI
Diraya Formacin
MACO
W2K-Citrix
NO
NO
Diraya Pre-produccin
MACO
W2K-Citrix
NO
NO
As mismo este documento recoge los requisitos funcionales del la opcin de mantenimiento de
contraseas a incorporar a Diraya y sobre la que se basa el procedimiento.
Para este caso, el procedimiento consistir en la solicitud de alta o desbloqueo para un operador
sin acceso, por parte un operador con usuario activo en alguno de los mdulos Diraya y que en el
momento de la solicitud se encuentre en el mismo centro donde est la persona que necesita
acceder al sistema. Para ello el operador en el que se confa, denominado Tercero, deber
identificarse en un mdulo diseado para tal fin, mediante el cual tendr acceso a un formulario
que deber cumplimentar. Este procedimiento ser aplicable nicamente para alta de operadores
o restablecimiento de contraseas en el entorno de produccin, en los casos en los que no ha sido
posible contactar con el Administrador Delegado, o bien este Administrador Delegado no puede
acceder a MACO por alguna imposibilidad tcnica. Para el resto de entornos (Formacin y
Preproduccin) no ser aplicable este procedimiento.
121
Nombre y Apellidos
D.N.I.
Puesto de trabajo
Centro de Trabajo
Telfono de contacto
Mdulo para el que solicita el acceso
Perfil que se solicita
mbito organizativo
Alta o Restablecimiento de contrasea
Otros campos que se consideren necesarios.
122
123
124
Servicio de Informtica
(SAS)
Peticiones/Reclamaciones
Notificacin
estado
Usuario
Usuari
o
Resolucin
NIVEL 1
1
Incidencia
Parte
de
Resolutor
Asignacin
Parte resolucin
Resolutor
NIVEL 2
2
CEGES
Resolutores
Resolutores Externos
125
126
Incidencia
1
Notificacin
Notificacin
usuario
usuario
Cierre
Cierre
Registro
Registro de
de
incidencia
incidencia
2
S
B.D Incidencias
Resolucin
Resolucin
1
1 nivel
nivel ?
No
SUPERVISIN Y
Y CONTROL
CONTROL
SUPERVISIN
Direccin
Direccin
del
del
Proyecto
Proyecto
Asignacin
Asignacin
problema
problema
Si
Responsable
Responsable
Centro
Centro de
de
Gestin
Gestin ??
No
A
NIVEL
NIVEL 22
Notificacin
4
Diagnstico
Diagnstico
5
Resoluble
Resoluble ??
6
No
Reasignacin
Reasignacin
Si
Resolucin
Resolucin
10
RESOLUTORES EXTERNOS
11
A
Resoluble
Avera HW? ?
No
Crear parte avera
Recepcin
incidencia
12
Si
Si
Garanta?
Resolucin
incidencia
Notificacin
NIVEL 1
13
14
No
GESTION DE APROVISIONAMIENTO
Reparacin
equipo ?
No
Procedimientos
internos
Si
Asignar a
Reasignacin
proveedor
17
B
15
10
127
128
129