Diario del Derecho. Edición de 22/08/2017
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 06/08/2012
 
 

Organización de la seguridad de la información

06/08/2012
Compartir: 

Orden 9/2012, de 10 de julio, de la Conselleria de Sanidad, por la que establece la organización de la seguridad de la información (DOCV de 3 de agosto de 2012). Texto completo.

ORDEN 9/2012, DE 10 DE JULIO, DE LA CONSELLERIA DE SANIDAD, POR LA QUE ESTABLECE LA ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN.

Preámbulo

La información constituye un activo de primer orden para la Conselleria de Sanidad y la Agencia Valenciana de Salud desde el momento en que resulta esencial para prestar servicios sanitarios de calidad. Que la información relativa a la salud de un paciente pueda estar a disposición de los profesionales sanitarios cuando la necesiten en cualquier punto de la red asistencial, o el control de la eficiencia en el uso de los recursos sanitarios son impensables sin el concurso de las tecnologías de la información y de las comunicaciones. Estas mismas tecnologías facilitan el acceso electrónico de los ciudadanos a los servicios públicos y están provocando cambios profundos en todo tipo de sectores y actividades.

El uso de la tecnología facilita nuevas formas de tratar la información, lo que propicia la creación de nuevos servicios a los ciudadanos, como la solicitud de cita por Internet, o la consulta de su historia de salud. Por otro lado, aparte de estos nuevos servicios y de la información básica para el desempeño de las funciones propias de la Conselleria de Sanidad y de la Agencia Valenciana de Salud, la actividad de ambas organizaciones genera abundante información que, a su vez, constituye una fuente importante de conocimiento para las partes con intereses legítimos en su explotación. Entre tales interesados están en primer lugar los pacientes y los ciudadanos en general, en tanto que potenciales beneficiarios del mayor conocimiento sobre la eficacia de los tratamientos, estilos de vida saludables, factores de riesgo, etc. En segundo lugar están los gestores y directivos que precisan conocer el funcionamiento de la organización, el grado de implantación de las políticas, medir su eficacia y eficiencia dentro de las consabidas dinámicas de control y mejora continua. La explotación de esta información secundaria requiere la dedicación de estructuras y personal especializados, tanto de la propia Conselleria como de agentes externos. Todos estos tratamientos deben realizarse en condiciones suficientes para preservar los derechos e intereses de los ciudadanos, sobre todo en lo que concierne a protección de datos personales, y los de la propia Conselleria para garantizar los servicios y como posible titular de derechos morales o patrimoniales sobre la información y los productos derivados de ella.

Las medidas de seguridad son de naturaleza muy diversa, casi tanto como los problemas que pretenden resolver, y van desde las organizativas hasta las puramente tecnológicas, pasando por las de tipo contractual y otras. Entre las primeras que es necesario adoptar están las de carácter organizativo, y de ellas es preciso destacar dos que se complementan mutuamente: una declaración de los principios que deben observarse en todos los tratamientos de información, y un reparto de funciones y responsabilidades en materia de seguridad. Es decir, una política y una organización de la seguridad de la información. Ambas medidas están tan estrechamente relacionadas que en ocasiones se incluye el modelo organizativo dentro de la política.

El antecedente normativo inmediato de la presente orden es el Decreto 66/2012, de 27 de abril, del Consell, que establece la política de seguridad de la información de la Generalitat, y cuyo contenido es plenamente aplicable a la Conselleria de Sanidad. En la disposición final primera de esa norma se faculta al conseller o la consellera con competencias en materia de sanidad y salud pública para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información en su ámbito de competencia. En ejercicio de dicha facultad, la presente disposición tiene por objeto establecer el marco organizativo de la seguridad de la información en el ámbito de la Conselleria de Sanidad.

La Ley Orgánica 15/1999, de 13 de diciembre Vínculo a legislación, de Protección de Datos de Datos de Carácter Personal, tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar. Su artículo 9.1 dispone que “el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural”. La Orden 11/2011, de 21 de octubre, de la Conselleria de Sanidad, por la que se crean once nuevos ficheros de datos de carácter personal y se suprimen los que existían hasta ese momento, declara que el responsable de esos ficheros es la propia Conselleria.

El Real Decreto 1720/2007, de 21 de diciembre Vínculo a legislación, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece las medidas de seguridad mínimas que deben aplicarse a los ficheros automatizados y no automatizados que contengan datos de carácter personal, entre las que se incluye el nombramiento de una serie de figuras con responsabilidades específicas.

La Ley 11/2007, de 22 de junio Vínculo a legislación, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, tiene entre sus fines la creación de las condiciones de confianza en el uso de los medios electrónicos mediante el establecimiento de las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal. En su disposición final octava esta ley establece que corresponde al Gobierno y a las comunidades autónomas en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de dicha ley.

El Real Decreto 3/2010, de 8 de enero Vínculo a legislación, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica desarrolla la Ley 11/2007, de 22 de junio Vínculo a legislación, y fija una serie de requisitos mínimos que deben concretarse en el correspondiente Plan de adecuación.

Entre tales requisitos están la aprobación formal de la política de seguridad y la organización de la seguridad. El artículo 10 de este Real Decreto, que reclama la separación de funciones entre el responsable de la información, el responsable del servicio y el responsable de la seguridad, es particularmente relevante en el contexto de la presente disposición.

En el ámbito autonómico otros dos antecedentes normativos en esta materia son el Decreto 96/1998, de 6 de julio, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la administración de la Generalitat Valenciana, y el Decreto 112/2008, de 25 de julio Vínculo a legislación, del Consell, por el que se crea la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunidad Valenciana.

Por otra parte es imprescindible citar también aquí la Ley 3/2010, de 5 de mayo Vínculo a legislación, de Administración Electrónica de la Comunitat Valenciana, que se promulgó al amparo del artículo 19.2 del Estatut d’Autonomia, que reconoce el derecho de acceso de los valencianos a las nuevas tecnologías y a que la Generalitat desarrolle políticas activas que impulsen la formación, las infraestructuras y su utilización, así como del artículo 49.3.16.ª, que establece que la Generalitat tiene la competencia exclusiva sobre el “Régimen de las nuevas tecnologías relacionadas con los servicios de información y del conocimiento”. El artículo 37.4 de esta ley dispone que “las administraciones públicas, en función de su capacidad y posibilidades, aprobarán, o adoptarán mediante los oportunos acuerdos y convenios, políticas de seguridad de la información para la aplicación efectiva de los principios señalados en los apartados anteriores, pudiendo promover la constitución o incorporación a los grupos y centros de seguridad a los que se refiere el artículo 35.6 de esta ley”.

En virtud de lo expuesto, y en uso de las facultades que me confiere el artículo 28.e) Vínculo a legislación de la Ley 5/1983, de 30 de diciembre, del Consell, y conforme con el Consell Jurídic Consultiu, ORDENO

CAPÍTULO I

Disposición preliminar

Artículo 1. Objeto

El objeto de la presente orden es hacer un reparto efectivo de tareas y responsabilidades para el mantenimiento y mejora de la seguridad de la información en la Conselleria de Sanidad. Este reparto atiende al principio de separación de funciones entre los responsables de la información, de los tratamientos y de la seguridad. Su resultado es el conjunto de agentes que se describen en los capítulos siguientes.

En disposiciones aparte se regularán otros aspectos de la seguridad de la información, como el acceso a la información y a los sistemas de tratamiento, los planes de mejora y el cumplimiento de sus objetivos, la protección de las infraestructuras críticas y las actuaciones en casos de emergencia. Los agentes identificados en la presente orden jugarán papeles destacados en todos ellos.

Artículo 2. Ámbito de aplicación

1. La organización de la seguridad regulada en la presente orden se aplica a la Conselleria de Sanidad y a los organismos e instituciones que dependan de ella. Las referencias a la Conselleria de Sanidad que figuran en los artículos siguientes deben interpretarse en este sentido extenso.

2. Las entidades independientes que participen en los tratamientos de información puesta bajo la responsabilidad de la Conselleria de Sanidad podrán dotarse de su propia estructura organizativa siempre que garanticen las condiciones fijadas para dicho tratamiento. En todo caso deberán nombrar un responsable de seguridad que facilite la coordinación con los agentes que se describen en esta orden, de acuerdo con el artículo 7.3 del Decreto 66/2012, de 27 de abril, del Consell, por el que se establece la política de seguridad de la información de la Generalitat.

Artículo 3. Principio general de actuación

La seguridad de la información depende de todos los que participan en su tratamiento y compromete a toda la organización. El personal al servicio de la Conselleria de Sanidad tiene el deber de colaborar con los agentes con responsabilidades específicas en la seguridad de la información para prevenir, detectar y controlar los riesgos derivados de actuaciones negligentes, ignorancia de las normas, fallos técnicos, de organización o de coordinación, o instrucciones inadecuadas.

CAPÍTULO II

Estructura organizativa

Artículo 4. Estructura básica

Las principales tareas para el mantenimiento y la mejora de la seguridad de la información se asignan a un conjunto de agentes que se distribuyen en una organización central y una serie de organizaciones periféricas.

Los agentes de la organización central tienen funciones y responsabilidades en todo el ámbito de aplicación de la presente orden. Los agentes de las organizaciones periféricas esencialmente tienen áreas de actuación más restringidas que se limitan a los centros que constituyen estas agrupaciones.

Artículo 5. Organización central de la seguridad de la información

1. Los agentes de la organización central desempeñan papeles principales en el gobierno, la gestión y la administración de la seguridad de la información. Su misión consiste en definir los objetivos y la estrategia corporativa en esa materia, trazar, dirigir y monitorizar los planes para hacerla efectiva, así como coordinar, asesorar y prestar servicios de apoyo a los agentes de las organizaciones periféricas.

2. La organización central estará compuesta por los siguientes agentes:

a) Responsable de la información

b) Responsable de la seguridad de la información

c) Oficina de seguridad de la información

d) Comité de seguridad de la información

e) Responsables de accesos a la información

f) Responsables funcionales de tratamientos

Artículo 6. Organización periférica de la seguridad de la información

1. Los centros donde se realizan tratamientos de información se agrupan en organizaciones periféricas. Estos agrupamientos reflejan la estructura de la Conselleria desde el punto de vista de los tratamientos de la información.

2. Al frente de cada organización periférica habrá un responsable de tratamientos nombrado por el responsable de la información. Los departamentos de salud, los órganos administrativos territoriales, y el conjunto de centros de salud pública tendrán la consideración de órganos periféricos a los efectos de esta disposición, sin que con ellos se agote la lista.

3. Las organizaciones periféricas se dotarán de la estructura necesaria para que los tratamientos de información se realicen en las debidas condiciones de seguridad. A tal efecto podrán contar con los siguientes agentes:

a) Responsable de los tratamientos de la información

b) Responsable local de la seguridad de la información

c) Responsable local de la seguridad de la información almacenada en ficheros automatizados

d) Responsable local de la seguridad de la información almacenada en ficheros no automatizados

e) Comité local de seguridad de la información

f) Responsables funcionales de tratamiento

g) Responsables operativos de tratamiento

4. Los agentes de las organizaciones periféricas serán responsables de aplicar las medidas de seguridad dentro de su ámbito de actuación, y como mínimo las que se aprueben con carácter general para toda la Conselleria. La participación de estos agentes en la toma de decisiones corporativas y en la coordinación de actuaciones se realizará mediante su representación en la organización central y su participación en los foros que la organización central dispondrá al efecto.

5. El responsable de los tratamientos de la información y el responsable local de seguridad son imprescindibles en cualquier organización periférica.

6. Los directores gerentes de los departamentos de salud, los directores territoriales y el director general competente en materia de salud pública serán los responsables de los tratamientos en sus respectivas demarcaciones. A ellos les corresponderá nombrar formalmente al resto de agentes dentro de su organización.

CAPÍTULO III

La organización central de la seguridad de la información

Artículo 7. El responsable de la información

1. El responsable de la información será el conseller, asesorado y asistido por el Consejo de Dirección, como autoridad con potestad para decidir sobre la finalidad, contenido y tratamientos de la información.

2. El responsable de la información asume el papel que la Ley Orgánica 15/1999, de 13 de diciembre Vínculo a legislación, de Protección de Datos de Carácter Personal, asigna al responsable de ficheros.

3. Entre las competencias del responsable de la información destacan las siguientes:

a) Aprobar los planes estratégicos de actuación en seguridad de la información, proporcionar los recursos y la autoridad suficientes para llevarlos a cabo.

b) Aprobar la estructura organizativa de la seguridad de la información.

c) Nombrar al responsable de la seguridad de la información.

d) Nombrar a los miembros del Comité de Seguridad de la Información.

e) Nombrar un responsable de accesos para cada activo de información.

f) Autorizar los tratamientos de la información puesta bajo su responsabilidad y nombrar a los correspondientes responsables funcionales.

g) Autorizar las cesiones de información, entendidas como comunicaciones de datos a terceros para realizar tratamientos por cuenta propia.

h) Aprobar el código tipo de la Conselleria de Sanidad.

i) Valorar los riesgos que se sometan a su consideración y ordenar las actuaciones pertinentes.

j) Aprobar la memoria anual sobre el estado de la seguridad de la información en la Conselleria de Sanidad y decidir sobre las propuestas de actuación incluidas.

k) Resolver en última instancia los conflictos entre el resto de agentes cuando las intervenciones mediadoras del responsable de seguridad y del Comité de seguridad no hubieran sido suficientes.

Artículo 8. El responsable de la seguridad de la información 1. El responsable de la seguridad de la información será la persona a la que el responsable de la información asigne formalmente las funciones de coordinar y controlar las medidas de seguridad aplicables.

2. Las funciones del responsable de la seguridad de la información son:

a) Identificar los objetivos y elaborar los correspondientes planes de actuación para la mejora de la seguridad de la información. Entre las actuaciones contempladas en esos planes estarán las siguientes:

i. Implantación y control de las medidas técnicas y organizativas necesarias para garantizar la seguridad de los datos y evitar su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, de la naturaleza de los datos almacenados y de los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

ii. Cumplimiento de las exigencias legales en materias de seguridad y de protección de datos personales.

iii. Establecimiento de las condiciones mínimas para los tratamientos de información por parte de terceros, así como el control de su cumplimiento y eficacia.

b) Dirigir la realización de las actuaciones recogidas en los planes estratégicos, controlando su grado de ejecución y eficacia.

c) Promover y colaborar en el mantenimiento, difusión y aplicación de la política de seguridad de la información, así como en la redacción de las normas, procedimientos y guías de buenas prácticas que la desarrollen.

d) Identificar los activos de información, así como los almacenes, aplicaciones y servicios que intervengan en los tratamientos, especialmente cuando contengan datos personales.

e) Definir las líneas base de seguridad, entendidas como conjuntos mínimos de controles de seguridad que deberán aplicarse en todos los tratamientos de información.

f) Homologar tratamientos, en especial las aplicaciones informáticas y servicios de información, respecto a los requisitos de seguridad exigibles.

g) Dirigir las auditorías de seguridad, que deberán incluir una valoración del grado de aplicación y de la efectividad de los controles de seguridad pertinentes y un catálogo de actuaciones recomendadas.

h) Elaborar la memoria anual sobre el estado de la seguridad de la información en la Conselleria de Sanidad, que incluirá sendos apartados dedicados a riesgos y mejoras.

i) Promover la elaboración y el mantenimiento de un código tipo para la Conselleria de Sanidad por parte del Comité de Seguridad.

j) Atender las cuestiones relativas a la seguridad de la información y la protección de datos personales que le sean planteadas desde cualquier instancia de la Conselleria.

k) Atender las cuestiones relativas a la aplicación de las medidas de seguridad procedentes de quienes intervengan en los tratamientos de la información. A tal efecto habilitará los canales de participación oportunos.

l) Informar sobre la idoneidad de las tecnologías, productos y servicios a disposición de la Conselleria de Sanidad desde el punto de vista de la seguridad.

m) Establecer el criterio para la declaración de ficheros a la Agencia Española de Protección de Datos y mantener permanentemente actualizados los registros general y autonómico en lo que respecta a los ficheros que sean responsabilidad de la Conselleria de Sanidad.

n) Organizar la llevanza de los documentos de seguridad y realizar los controles de calidad correspondientes.

o) Facilitar el cumplimiento de las disposiciones legales en los contratos que incluyan tratamiento de datos personales. Verificar que la prestación se realiza de acuerdo con dichas disposiciones y con los términos del contrato.

p) Coordinar los servicios prestados por los diferentes agentes que intervienen en la seguridad de la información con objeto de evitar duplicidades y zonas sin cobertura.

q) Mediar en los conflictos relacionados con asuntos de su competencia que sean sometidos a su consideración.

r) Intervenir en la gestión de las alertas, incidencias y problemas de seguridad que por su relevancia pudieran afectar o suponer un grave riesgo para la Conselleria de Sanidad y sus activos de información.

s) Actuar como secretario del Comité de Seguridad de la Información.

t) Actuar como director de la Oficina de Seguridad de la Información.

3. El responsable de la seguridad de la información de la Conselleria de Sanidad desempeñará el papel de responsable de seguridad previsto en el Real Decreto 1720/2007, de 21 de diciembre Vínculo a legislación, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

4. Para el cumplimiento de sus funciones el responsable de la seguridad de la información estará asistido por la Oficina de Seguridad y por los responsables locales de seguridad de las organizaciones periféricas.

Artículo 9. La Oficina de Seguridad de la Información

1. La Oficina de Seguridad de la Información prestará asistencia técnica, legal y administrativa al responsable de la seguridad de la información para el ejercicio de sus funciones. El director de esta oficina será el responsable de la seguridad de la información.

2. La Oficina de Seguridad de la Información facilitará la coordinación entre los servicios de seguridad prestados por proveedores de dentro y fuera de la Conselleria de Sanidad, complementándolos en la medida de lo posible.

Artículo 10. El Comité de Seguridad de la Información

1. El Comité de Seguridad de la Información de la Conselleria de Sanidad será el máximo órgano consultivo de carácter no técnico sobre seguridad de la información.

2. El Comité de Seguridad de la Información tendrá las siguientes funciones:

a) Informar a los distintos responsables sobre la adecuación, viabilidad e impacto de las actuaciones en materia de seguridad de la información, pudiendo proponer nuevas iniciativas o la modificación de las existentes. En particular informará sobre los planes de actuación propuestos por el responsable de seguridad de la información.

b) Elaborar el código tipo de la Conselleria de Sanidad, de acuerdo con el artículo 32 Vínculo a legislación de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y con el título VII del Real Decreto 1720/2007, de 21 de diciembre Vínculo a legislación, por el que se aprueba el Reglamento de desarrollo de dicha ley, documento que revisará al menos una vez al año.

c) Facilitar el conocimiento y la aplicación de la normativa y de las medidas de seguridad en las distintas instancias de la Conselleria de Sanidad, buscando conseguir un clima positivo y de participación.

3. La composición del Comité de Seguridad de la Información será la siguiente:

a) El secretario autonómico director gerente de la Agencia Valenciana de Salud, o el director general o director de gestión sanitaria en quien delegue, que será su presidente.

b) El responsable de la seguridad de la información de la Conselleria de Sanidad, que actuará de secretario.

c) Un vocal nombrado por cada una de las direcciones generales de la Conselleria de Sanidad.

d) Dos vocales elegidos directamente por el director gerente de la AVS, de los cuales al menos uno lo será en representación del órgano que ostente las competencias en tecnologías de la información y las comunicaciones.

e) Tres vocales en representación de los departamentos de salud.

f) Un vocal en representación de la Abogacía General de la Generalitat especializado en seguridad de la información y protección de datos personales.

4. Cada órgano representado nombrará un vocal titular y un vocal suplente.

5. El Comité de Seguridad de la Información se reunirá como mínimo una vez al año para conocer el informe sobre el estado de la seguridad y el plan de actuación propuestos por el responsable de seguridad, así como para valorar los posibles cambios al código tipo.

Artículo 11. Los responsables de accesos a la información

1. Los responsables de accesos serán los encargados de ejecutar la política de accesos que establezca el responsable de la información. De manera especial administrarán el acceso a la información de acuerdo con esas directrices y determinarán, con carácter general, el nivel de seguridad aplicable.

2. El responsable de la información nombrará un responsable de accesos para cada activo de información, entendido como un conjunto de información con entidad diferenciada. Los ficheros inscritos en el Registro general de protección de datos tendrán la consideración de activos de primer nivel. Por debajo de ellos, ordenados de manera jerárquica, podrán distinguirse otros activos más específicos. Las condiciones de acceso a los activos de nivel superior serán aplicables a los activos de nivel inferior, salvo excepciones debidamente justificadas y documentadas.

3. Los responsables de accesos podrán identificar los activos de nivel inferior y designar a sus responsables de accesos.

4. Las principales funciones del responsable de accesos son:

a) Clasificar la información según el esquema propuesto por el responsable de seguridad. El resultado de esta clasificación determinará el nivel de protección de la información y los controles de seguridad exigibles a todos los tratamientos de los que sea objeto.

b) Establecer los criterios, condiciones y procedimientos para la obtención de las credenciales de acceso.

i. Esos requisitos se especificarán, en la medida de lo posible, de modo que faciliten su aplicación a colectivos y circunstancias bien definidos y eviten tener que hacerlo de forma individualizada, entre otras razones para agilizar la obtención de esas credenciales en el desarrollo de la actividad ordinaria.

ii. Los requisitos mencionados en el apartado anterior estarán a disposición de los posibles interesados en la Intranet de la Conselleria de Sanidad.

c) Autorizar, con carácter general, las entradas y salidas de información fuera de los locales y sistemas de la Conselleria de Sanidad. Este apartado incluye el uso de dispositivos portátiles y de los servicios de tratamiento en la nube (cloud computing). En todo caso esos movimientos deberán hacerse cumpliendo las condiciones establecidas de acuerdo con el responsable de seguridad. Las cesiones de información deberán ser aprobadas previamente por el responsable de la información.

d) Gestionar la concesión, revocación y caducidad de las credenciales de acceso a la información.

e) Autorizar las entradas y salidas individuales de soportes de información, guardando un registro completo de tales movimientos.

f) Informar periódicamente sobre los accesos registrados y alertar al responsable de seguridad inmediato de cualquier incidencia o problema.

5. El responsable de acceso a la información podrá nombrar delegados en las ubicaciones oportunas para que le asistan en el desempeño de las funciones d, e y f del punto anterior.

6. El papel de responsable de accesos podrá recaer en una comisión donde estén representados los principales interesados. En tales casos la comisión deberá adoptar y hacer público un compromiso de agilidad en la resolución de las peticiones que le sean dirigidas.

7. El nombramiento de los responsables de acceso a la información se realizará formalmente y se hará constar en el documento de seguridad.

Artículo 12. Los responsables funcionales de tratamiento

1. Los tratamientos de información deberán contar con la aprobación del responsable de la información, quien nombrará un responsable funcional para cada tratamiento diferenciado.

2. El responsable funcional tiene la misión de hacer que el tratamiento de la información consiga los objetivos declarados, ciñéndose a ellos y cumpliendo los niveles exigibles de calidad, seguridad y eficiencia.

Sus principales funciones son:

a) Conseguir los elementos técnicos, materiales, humanos y organizativos necesarios para realizar el tratamiento.

b) Establecer las características individuales y las condiciones de participación en el tratamiento de los elementos mencionados en el punto anterior. Entre las anteriores cabe destacar las especificaciones funcionales de las aplicaciones informáticas, las necesidades de formación del personal y su cualificación mínima, y el tiempo máximo de indisponibilidad tolerable.

c) Establecer los procedimientos mediante los que cooperarán los susodichos elementos para lograr los objetivos del tratamiento, tanto en condiciones normales como en situaciones excepcionales. Los procedimientos de resolución de incidencias y los planes de contingencia deberán formar parte de este lote.

d) Controlar la calidad y la eficiencia del tratamiento dentro de un ciclo de mejora continua.

e) Facilitar información sobre la actividad desarrollada y los resultados del tratamiento a los interlocutores que acrediten un interés legítimo, teniendo en cuenta en todo caso las condiciones impuestas por los responsables de acceso a la información.

3. El responsable funcional deberá introducir y exigir los requisitos de seguridad aplicables en todas las fases del ciclo de vida del tratamiento, para lo que contará con la asistencia del personal especializado de la propia consellería.

4. El responsable funcional deberá hacer efectivas las condiciones fijadas por los responsables de acceso a la información, atendiendo especialmente a la formación del personal que intervenga en el tratamiento.

5. El responsable funcional registrará y mantendrá actualizada la información relativa al tratamiento en los documentos de seguridad correspondientes, respondiendo de su exactitud y vigencia.

6. El responsable funcional encabezará, por lo general, un equipo de profesionales donde estarán representados los participantes y principales interesados en el tratamiento.

7. Cuando en el tratamiento de la información intervengan las tecnologías de la información y las comunicaciones, el jefe del órgano que ostente esas competencias nombrará un responsable técnico del tratamiento, que será el interlocutor habitual del responsable funcional.

8. Cuando un mismo tratamiento se lleve a cabo en distintos centros, en cada uno de ellos habrá un responsable operativo del tratamiento, designado por su correspondiente responsable de tratamientos de acuerdo con el responsable funcional. Los responsables operativos actuarán bajo la coordinación del responsable funcional en lo referente al tratamiento en cuestión.

9. Cuando el alcance de un tratamiento no trascienda los límites de una organización periférica, su responsable de tratamientos, como representante del responsable de la información, podrá realizar la autorización y el nombramiento mencionados en el primer apartado de este artículo.

10. El responsable funcional, el responsable operativo y el responsable técnico informarán diligentemente de las alertas, incidencias o problemas de seguridad que detecten mediante los procedimientos de comunicación establecidos al efecto.

CAPÍTULO IV

La organización periférica de la seguridad de la información

Artículo 13. El responsable de tratamientos de la información

1. El responsable de tratamientos de la información encabezará la organización periférica de la seguridad de la información en cada departamento de salud o instancia donde se establezca.

2. El responsable de tratamientos de la información actuará dentro de su ámbito en representación del responsable de la información. En particular asumirá las siguientes funciones:

a) Proporcionar la protección adecuada a los activos de información puestos a su cargo.

b) Desarrollar y mantener la organización periférica de la seguridad de la información realizando los nombramientos oportunos.

c) Proveer los recursos necesarios para proteger la información y facilitar el desarrollo de los planes de seguridad.

d) Facilitar la coordinación de actuaciones con los agentes de la organización central y de las otras organizaciones periféricas. Esta coordinación es necesaria para reducir el impacto de las incidencias que afecten a la seguridad de la información.

e) Autorizar los tratamientos de información que no trasciendan su ámbito de actuación y nombrar a los responsables funcionales correspondientes.

3. Todos los nombramientos serán comunicados al responsable de la seguridad de la información y se harán constar en los documentos de seguridad pertinentes.

Artículo 14. El responsable local de la seguridad de la información

1. El responsable de tratamientos nombrará un responsable local de la seguridad de la información que se encargará de coordinar todas las actuaciones en esa materia dentro de su ámbito de actuación.

2. Los responsables locales de la seguridad de la información actuarán en coordinación con el responsable de la seguridad de la información.

3. Entre las funciones de los responsables locales de la seguridad de la información están:

a) Dirigir, coordinar y supervisar la ejecución de los planes de seguridad y la aplicación de los controles oportunos.

b) Participar con sus homólogos en otras organizaciones periféricas y con el responsable de la seguridad de la información en la elaboración de los planes de seguridad corporativos, en la gestión de los planes vigentes y en la valoración de sus resultados.

c) Colaborar en el mantenimiento de los documentos de seguridad.

d) Realizar un informe anual para el responsable de tratamientos y el responsable de la seguridad de la información sobre el cumplimiento de los planes previstos, la efectividad de los controles aplicados, los nuevos riesgos detectados, y posibles cambios y mejoras.

e) Informar al responsable de tratamientos y al responsable de la seguridad de la información de los riesgos, incidencias o problemas de seguridad cuya relevancia así lo requiera, así como participar en la gestión o resolución de los mismos.

Artículo 15. Los responsables locales de la seguridad de la información almacenada en ficheros automatizados y no automatizados

1. El responsable de tratamientos podrá nombrar un responsable local de la seguridad de la información almacenada en ficheros automatizados y un responsable local de la seguridad de la información almacenada en ficheros no automatizados. Ambas figuras asesorarán al responsable local de seguridad y actuarán bajo su coordinación.

2. Sus funciones coincidirán con las del responsable local de seguridad, en la medida en que éste las delegue, y estarán orientadas a sus respectivas áreas de actuación.

Artículo 16. El comité local de seguridad de la información

1. Los responsables de tratamientos podrán ordenar la creación de comités locales de seguridad de la información. Sus funciones, dentro de cada organización periférica, serán las mismas que las del Comité de Seguridad de la Información.

2. Los componentes y el régimen de funcionamiento de estos comités quedan a la discreción de cada responsable de tratamientos. El papel del comité local de seguridad de la información puede ser asumido por otro órgano o comisión con capacidad suficiente.

Artículo 17. Los responsables funcionales de tratamiento locales

Los responsables de tratamientos podrán nombrar responsables funcionales para aquellos tratamientos de información específicos de sus organizaciones periféricas. A estos agentes les será de aplicación lo antedicho para los responsables funcionales de tratamiento, con la única diferencia de que su ámbito de actuación es más reducido.

DISPOSICIÓN ADICIONAL Única. Incidencia económica

La implantación y posterior desarrollo de esta orden no podrá tener incidencia alguna en la dotación de todos y cada uno de los capítulos de gasto asignados a la conselleria competente por razón de la materia, y en todo caso deberá ser atendido con los medios personales y materiales de dicha conselleria.

DISPOSICIÓN DEROGATORIA Única. Derogación normativa

Quedan derogadas cuantas disposiciones de igual o inferior rango se opongan a lo dispuesto en la presente orden.

DISPOSICIONES FINALES

Primera. Constitución de la Oficina de Seguridad de la Información

Las funciones de la Oficina de Seguridad de la Información las asumirá con carácter general el órgano administrativo que ostente las competencias en tecnologías de la información y las comunicaciones.

El responsable de seguridad requerirá la colaboración de otros órganos de la Conselleria de Sanidad en la medida en que fuera necesaria la participación de sus profesionales para cubrir la oferta de servicios de la oficina. A estos efectos dicho personal podrá adscribirse temporal o parcialmente a la Oficina de Seguridad.

Segunda. Plazos de adecuación

Las comisiones o aquellos que en el momento de la entrada en vigor de la presente orden vinieran desempeñando funciones propias de los agentes descritos en ella, podrán seguir ejerciendo sus funciones, con carácter provisional, en tanto no se realicen los nombramientos de dichos agentes. En tal caso deberán adaptar su funcionamiento, criterios y procedimientos a las decisiones de alcance corporativo que tomen los agentes con responsabilidades superiores que hubieran sido nombrados para ello.

Se establece un plazo máximo de seis meses a partir de la entrada en vigor de esta orden para que se constituyan la Oficina y el Comité de Seguridad de la Información, y se realicen los nombramientos del resto de agentes.

En tanto que esta disposición desarrolla las exigencias del Esquema Nacional de Seguridad, la fecha límite del 30 de enero de 2014 para la adecuación a dicha norma resulta aplicable también al cumplimiento de esta orden.

Tercera. Cumplimiento

El uso del equipamiento y servicios informáticos de la Conselleria de Sanidad, así como la conexión a los sistemas de información corporativos estarán supeditados al cumplimiento por parte de los responsables funcionales de lo establecido en la presente orden.

En las auditorías que cubran la seguridad de la información o la protección de datos personales se evaluará el grado de cumplimiento y la efectividad de las medidas establecidas en la presente orden.

La observancia de lo dispuesto en la presente orden podrá formar parte de los acuerdos de gestión que pacte la conselleria con las organizaciones periféricas.

Cuarta. Instrumentos de colaboración

El órgano de la Conselleria de Sanidad que ostente las competencias en tecnologías de la información y las comunicaciones proporcionará los recursos tecnológicos que faciliten la colaboración y el intercambio de conocimiento y experiencias entre quienes participen en el tratamiento de la información, especialmente entre los agentes mencionados en esta disposición.

Quinta. Entrada en vigor

La presente orden entrará en vigor el día siguiente al de su publicación en el Diari Oficial de la Comunitat Valenciana.

Noticias Relacionadas

  • Modificación del Mapa Sanitario
    Decreto 61/2013, de 16 de abril, del Gobierno de Aragón, por el que se modifica el Mapa Sanitario de la Comunidad Autónoma de Aragón (BOA de 24 de abril de 2013). Texto completo. 25/04/2013
  • Sistema de Información de Enfermedades Raras
    Orden de 19 de febrero de 2013, del Departamento de Sanidad, Bienestar Social y Familia, por la que se crea el Sistema de Información de Enfermedades Raras y el Registro de Enfermedades Raras de la Comunidad Autónoma de Aragón (BOA de 15 de marzo de 2013). Texto completo. 19/03/2013
  • Modificación del calendario de vacunaciones
    Decreto 24/2013, de 5 de marzo, por el que se modifica el Decreto 161/2006, de 6 de septiembre, por el que se aprueba el calendario íntegro de vacunaciones de la Comunidad Autónoma de Extremadura (DOE de 12 de marzo de 2013). Texto completo. 13/03/2013
  • Actuaciones Urgentes de Gestión y Eficiencia en Prestación Farmacéutica y Ortoprotésica
    Decreto Ley 2/2013, de 1 de marzo, del Consell, de Actuaciones Urgentes de Gestión y Eficiencia en Prestación Farmacéutica y Ortoprotésica (DOCV de 5 de marzo de 2013). Texto completo. 06/03/2013
  • Derecho de acceso a la asistencia sanitaria gratuita
    Ley Foral 8/2013, de 25 de febrero, por la que se reconoce a las personas residentes en Navarra el derecho de acceso a la asistencia sanitaria gratuita del sistema público sanitario de Navarra (BON de 4 de marzo de 2013). Texto completo. 05/03/2013
  • Lista de medicamentos que quedan excluidos de la prestación farmacéutica del Sistema Nacional de Salud
    Resolución de 18 de febrero de 2013, de la Dirección General de Cartera Básica de Servicios del Sistema Nacional de Salud y Farmacia, por la que se procede a la actualización de la lista de medicamentos que quedan excluidos de la prestación farmacéutica del Sistema Nacional de Salud y se establece visado para los medicamentos que han sido excluidos de la prestación farmacéutica del Sistema Nacional de Salud pero permanecen financiados excepcionalmente para las indicaciones establecidas en función del grupo terapéutico al que pertenecen (BOE de 26 de febrero de 2013). Texto completo. 26/02/2013
  • Normas para el ejercicio de un control financiero continuo y seguimiento del gasto sanitario en los centros adscritos al Servicio Madrileño de Salud
    Decreto 14/2013, de 21 de febrero, del Consejo de Gobierno, por el que se dictan normas para el ejercicio de un control financiero continuo y seguimiento del gasto sanitario en los centros adscritos al Servicio Madrileño de Salud (BOCAM de 25 de febrero de 2013). Texto completo. 26/02/2013
  • Sistema sanitario integral de utilización pública
    Orden SLT/28/2013, de 12 de febrero, por la que se actualiza el anexo del Decreto 196/2010, de 14 de diciembre, del sistema sanitario integral de utilización pública de Cataluña (SISCAT) (DOGC de 22 de febrero de 2013). Texto completo. 25/02/2013
  • Consejo para la Innovación en Materia Sanitaria
    Decreto 22/2013, de 24 de enero, por el que se crea el Consejo para la Innovación en Materia Sanitaria y se establece su composición, organización y funcionamiento (DOG de 15 de febrero de 2013). Texto completo. 18/02/2013
  • Servicio de Neurología del Complejo Hospitalario de Navarra
    Orden Foral 13/2013, de 5 de febrero, de la Consejera de Salud, por la que se crea el Servicio de Neurología del Complejo Hospitalario de Navarra (BON de 15 de febrero de 2013). Texto completo. 18/02/2013

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2017

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana