§1015648
ORDEN SLT/88/2006, DE 6 DE MARZO, POR LA QUE SE CREA EL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN EN EL DEPARTAMENTO DE SALUD.
La Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece que los órganos de las administraciones responsables de los ficheros que contienen datos de carácter personal, y si procede, las personas físicas o jurídicas, las autoridades públicas o los órganos encargados de su tratamiento deben adoptar las medidas de carácter técnico y organizativo necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, tratamiento o acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenadas y los riesgos a qué están expuestos, tanto si provienen de la acción humana como del medio físico o natural.
El Real decreto 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, regula las medidas de índole técnica y organizativa y las medidas de seguridad exigibles para garantizar la confidencialidad y la integridad de la información.
La generalización de las tecnologías de la información y de los sistemas de información como herramientas para recoger, almacenar y tratar datos de carácter personal, que son necesarias para una correcta gestión del sistema sanitario, y la necesidad de que su utilización y tratamiento se lleve a cabo con las medidas de seguridad necesarias para poder garantizar los derechos de los ciudadanos a la confidencialidad e integridad de los datos, hace necesario que el Departamento de Salud se dote de un instrumento que delimite cuáles son las directrices que en materia de seguridad de la información deben regir la actuación de las diferentes unidades del Departamento y de los entes y organismos que están adscritos. A tal fin se crea el Programa de Seguridad de la Información.
La estructura de este Programa se concreta en un Comité de Seguridad de la Información, como órgano técnico colegiado que tiene el objetivo principal de elaborar las directrices de este Programa y de llevar a cabo su control, y en la figura del responsable del Programa de Seguridad de la Información que, entre otras funciones, tiene asignada la de llevar a cabo la implementación y la gestión del Programa de acuerdo con las directrices fijadas por el Comité de Seguridad de la Información.
De acuerdo con lo que se ha expuesto, y dado lo que disponen los artículos 12 y 22 de la Ley 13/1989, de 14 de diciembre, de organización, procedimiento y régimen jurídico de la Administración de la Generalidad de Cataluña,
Ordeno:
Artículo 1
Creación y objeto del Programa de Seguridad de la Información
Se crea el Programa de Seguridad de la Información, adscrito a la Secretaría General del Departamento de Salud, con el fin de garantizar que el uso de las tecnologías de la información y de los sistemas de información en el Departamento de Salud y en los entes y organismos que están adscritos se lleve a cabo con parámetros adecuados de seguridad.
Artículo 2
Comité de Seguridad de la Información
2.1 Con el objetivo de elaborar las directrices del Programa de Seguridad de la Información, así como de controlar su la ejecución, se crea el Comité de Seguridad de la Información.
2.2 El Comité de Seguridad de la Información está integrado por los siguientes miembros:
a) El/la secretario/secretaria general o persona en quien delegue, que ejercerá la presidencia.
b) Una persona en representación de cada una de las áreas de informática y comunicaciones y/o de los planes de sistemas del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, designadas por las personas responsables de estas áreas.
c) Una persona en representación de las unidades de Asesoría Jurídica del Departamento de Salud, del Servicio Catalán de la Salud o del Instituto Catalán de la Salud, designada rotatoriamente siguiendo el orden citado por las personas responsables de estas unidades, por periodos de un año.
d) Una persona en representación de las unidades de Recursos Humanos del Departamento de Salud, del Servicio Catalán de la Salud o del Instituto Catalán de la Salud, designada rotatoriamente, siguiendo el orden citado por las personas responsables de estas unidades, por periodos de un año.
e) Tres personas que tengan asignada la responsabilidad de gestionar ficheros de entre las diferentes unidades del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, designadas por los responsables de estas unidades.
f) La persona responsable del Programa de Seguridad de la Información, previsto en el artículo 4 de la presente Orden, que actuará con voz y sin voto.
2.3 La persona responsable del Programa de Seguridad de la Información que se regula en el artículo 4 de esta Orden asume las funciones de secretario/secretaria del Comité, vela por la ejecución de los acuerdos del Comité y lleva a cabo las tareas que le encargue la presidencia.
2.4 El/la presidente/a del Comité de Seguridad de la Información puede convocar a las sesiones de este órgano a aquellas personas que considere conveniente por razón de sus conocimientos o del ámbito material del cargo que ocupen.
2.5 En el Comité de Seguridad de la Información se crearán los grupos de trabajo que el/la presidente/a del Comité, a iniciativa propia o a propuesta de cualquiera de sus miembros, considere conveniente para el mejor funcionamiento de este órgano.
Artículo 3
Funciones y régimen de funcionamiento del Comité de Seguridad de la Información
3.1 Las funciones del Comité de Seguridad de la Información son las siguientes:
a) Disponer de información actualizada en cada momento de la seguridad de la información en el Departamento de Salud y sus entes y organismos dependientes, que incluya aspectos técnicos, organizativos y metodológicos.
b) Aprobar las directrices del Programa de Seguridad de la Información durante el primer trimestre de cada anualidad de vigencia del Programa, sin perjuicio de lo que establece el apartado siguiente.
c) Emitir directrices y recomendaciones de seguridad para el desarrollo de nuevos proyectos.
d) Supervisar el nivel de seguridad de los sistemas de información de las diferentes unidades del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, y de los proveedores de servicios informáticos del Departamento.
e) Promover la implantación de las medidas para difundir las directrices y las medidas de seguridad de la información dentro del Departamento de Salud.
3.2 Sin perjuicio de lo establecido en el apartado anterior, el Comité puede elaborar y elevar al consejero o consejera de Salud, al director o directora del Servicio Catalán de la Salud y al director o directora gerente del Instituto Catalán de la Salud para su valoración, los informes extraordinarios o comunicados urgentes que considere pertinentes derivados de las funciones que tiene encomendadas.
3.3 El Comité se reúne, como mínimo, una vez al trimestre, y siempre que el/la presidente/a lo determine.
3.4 El Comité debe fijar sus normas de funcionamiento interno que, en todo caso, se ajustarán a las normas generales de los órganos colegiados.
Artículo 4
Responsable del Programa de Seguridad de la Información
4.1 Al frente del Programa de Seguridad de la Información habrá una persona responsable designada por el/por la consejero/a de Salud entre profesionales del Departamento de Salud o de los entes y organismos que están adscritos.
4.2 El desarrollo de las funciones de responsable del Programa de Seguridad de la Información no supone el acceso a un nuevo puesto de trabajo, y la persona profesional a quien se asigne esta función continuará llevando a cabo las funciones propias de su puesto de trabajo.
4.3 La persona responsable del Programa de Seguridad de la Información tiene asignadas las siguientes funciones:
a) Elaborar un modelo de seguridad de la información del Departamento de Salud, y de los entes y organismos que están adscritos, que incluya la definición de las diversas funciones y responsabilidades de las diferentes unidades en el ámbito de la seguridad de la información, las tecnologías de seguridad, los procedimientos y estándares aplicables, y que desarrolle las directrices del Programa de Seguridad de la Información fijadas por el Comité de Seguridad.
b) Implantar las directrices y criterios de seguridad del Departamento, y de los entes y organismos que están adscritos, coherente con las directrices y recomendaciones emitidas por el Comité, así como velar con el fin de que estas directrices se incorporen en las especificaciones técnicas que se entreguen a los proveedores de servicios externos.
c) Llevar a cabo la implementación y la gestión del Programa de Seguridad de la Información de acuerdo con las directrices fijadas por el Comité de Seguridad de la Información.
d) Supervisar el nivel de seguridad de los sistemas de información que las diferentes unidades del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, y de los proveedores de servicios informáticos del Departamento.
e) Participar en los proyectos del Departamento de Salud que impliquen cambios en la infraestructura tecnológica y validar los informes de riesgos de las nuevas infraestructuras.
f) Velar para que la gestión de la seguridad de la información se lleve a cabo de forma coordinada en las diferentes unidades del Departamento y de los entes y organismos que están adscritos.
g) Participar en los procesos de desarrollo de nuevos sistemas mediante la definición de requerimientos de seguridad informática, la creación de directrices por los equipos de desarrollo y la evaluación de la seguridad de los sistemas previamente a su explotación. Para ejercer esta función podrá contar con la colaboración de otras unidades del Departamento de Salud, o de los entes y organismos que están adscritos, relacionadas con las tecnologías de la información.
h) Velar para que los riesgos de seguridad informática se tengan en cuenta tanto en los nuevos proyectos como en la gestión diaria del Departamento de Salud.
i) Evaluar periódicamente la seguridad del Departamento mediante un Plan de revisiones y evaluaciones de seguridad, que podrá incluir revisiones metodológicas (ISO17799) o tecnológicas, y elevar los resultados de estas revisiones al Comité de Seguridad de la Información.
j) Gestionar los incidentes de seguridad de la información mediante la elaboración y gestión de un Plan de respuesta y gestión de incidentes departamental.
k) Coordinar las actuaciones dirigidas a adecuar los sistemas de información departamentales a los requerimientos establecidos de acuerdo con la normativa reguladora, sin perjuicio de las obligaciones que correspondan a los responsables de los tratamientos o a las unidades orgánicas promotoras de las aplicaciones.
l) Promover los anteproyectos de disposiciones para la legalización de ficheros, y tramitar su registro ante la Agencia de Protección de datos, así como velar por el cumplimiento de todas las actuaciones legalmente establecidas respeto a los ficheros legalizados.
4.4 El responsable del Programa de Seguridad de la Información deberá elaborar un informe trimestral de las actividades realizadas, que elevará al Comité de Seguridad de la Información.
4.5 En función de las actividades específicas a llevar a cabo por el Programa de Seguridad de la Información, el Departamento de Salud, el Servicio Catalán de la Salud y el Instituto Catalán de la Salud asignarán los recursos.
Artículo 5
Plazo de vigencia del Programa
El Programa de Seguridad de la Información estará vigente hasta la finalización de la presente legislatura, sin perjuicio de la posibilidad de prórroga.
Disposición final
Única
La presente Orden entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Generalitat de Catalunya.
