PLAN DE GESTIÓN DE TECNOLOGIAS DE LA...

PLAN DE GESTIÓN DE TECNOLOGIAS

DE LA INFORMACIÓN

MANUAL DE PROCEDIMIENTOS

Dirección General

Tecnología de la Información Código:

SAIU-MO-DG-TI-01 Emisor

Tecnología de la Información

F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

2 de 123

Documento Controlado

Prohibida su Reproducción Parcial o Total No Autorizada

Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006

Elaboró Revisó Vo. Bo. Autorizó

Ing. Alberto Hernández Vázquez

Jefe de Tecnología de la Información

Ing. Abel Corzo Gerencia de Tecnología

de la Información

Lic. Erenia Esther Sanchez Medina

Calidad y Mejora Continua

Ing. Roberto Bonilla de la Garza

Director General


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

3 de 123




INDICE

1. INTRODUCCION 2. GLOSARIO 3. PROPOSITO 4. ALCANCE 5. OBJETIVOS 6. ORGANIGRAMA DEL AREA DE TECNOLOGIA DE LA INFORMACION 7. RELACIÓN DE TI CON EL HOSPITAL 8. COMUNICACIÓN TI CON PROVEEDORES 9. POLÍTICA GLOBAL DE SEGURIDAD DE LA INFORMACIÓN 10. INFRAESTRUCTURA DE HARDWARE (EQUIPOS, DISPOSITIVOS, APARATOS)

y SOFTWARE 11. POLÍTICA DE ACCESO A REDES Y RECURSOS DE RED 12. POLÍTICA DE USO ADECUADO DE INTERNET 13. POLÍTICAS PARA EL USO DE DISPOSITIVOS MÓVILES 14. POLÍTICAS SOBRE EL CORREO ELECTRÓNICO 15. POLÍTICAS DE SEGURIDAD PARA EL USO DEL ANTIVIRUS 16. POLÍTICA DE INTERCAMBIO DE INFORMACIÓN 17. POLÍTICAS DE ACCESO A SITE 18. MANTENIMIENTOS PREVENTIVOS/CORRECTIVOS 19. POLÍTICAS DE RESPALDOS 20. POLÍTICAS DE ACCESO AL SISTEMA: EXPEDIENTE CLINICO ELECTRÓNICO 21. POLITICAS DE CONTRASEÑAS SEGURAS 22. FORMATOS USADOS POR EL DEPARTAMENTO DE TECNOLOGIAS DE LA

INFORMACIÓN 23. BITACORA DE COPIAS CONTROLADAS 24. CONTROL DE CAMBIOS


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

4 de 123




1. INTRODUCCIÓN

La innovación permanente de los servicios de salud ha ocasionado un gran dinamismo técnico y científico en el proceso Clínico asistencial de los pacientes. Los profesionales de la salud disponen, en la actualidad de una gama de elementos para la toma de decisiones clínicas, de ellos se deriva la necesidad de contar con documentos que establezcan la forma aceptada por la institución para la realización de los procedimientos de atención directa de los pacientes. La definición de los procedimientos clínicos del Hospital San Ángel Inn Universidad constituye un mecanismo de garantía de calidad y seguridad en el cuidado del paciente. Incluye todos aquellos procedimientos básicos que son comunes en la mayoría de los servicios del hospital. El presente manual de procedimientos, representa la consolidación de un estilo y de un instrumento de trabajo que en apego a las políticas y objetivos de la institución para que el área de Tecnología de la Información (TI) cuente con un documento normativo y técnico que guie las acciones a realizar, el mejoramiento continuo de la atención que reciben los usuarios, reflejado en una atención integral eficaz y eficiente en todas las áreas de esta Unidad Hospitalaria. Este documento tiene que ser revisado periódicamente a fin de enriquecerlo.

2. GLOSARIO Ancho de banda: Nos indica la capacidad de comunicación, o la velocidad de transmisión de datos de una línea de conexión.

Antivirus: programa que busca y eventualmente elimina los virus informáticos que pueden haber infectado un disco rígido o medio extraíble.

Archivo: Son un conjunto de registros lógicos. Backup: Copia de seguridad. Se hace para prevenir una posible pérdida de información.

http://www.monografias.com/trabajos5/virus/virus.shtml

http://www.sitiosespana.com/webmasters/t_self#Disco%20r%C3%ADgido

http://www.monografias.com/trabajos7/arch/arch.shtml

http://www.monografias.com/trabajos7/regi/regi.shtml


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

5 de 123




Base de datos: Es un almacenamiento colectivo de las bibliotecas de datos que son requeridas y organizaciones para cubrir sus requisitos de procesos y recuperación de información.

Cifrado: Codificación de datos mediante diversas técnicas matemáticas que garantizan su confidencialidad en la transmisión.

Código malicioso: Cualquier programa con una intención molesta, malévola o ilegal. Generalmente están diseñados para ejecutarse sin la intervención del usuario.

Contraseña: Conjunto de letras, números y símbolos, o incluso frases, utilizadas para autenticar usuarios en un sistema informático. Para que el uso de contraseñas sea efectivo es necesario escogerlas de manera que sean difíciles de adivinar para un atacante.

Correo electrónico: Intercambio de mensajes entre computadoras.

Correos encadenados: Son mensajes de correo electrónico donde se solicita que el mensaje sea reenviado a otras personas para que éstas a su vez los reenvíen. Es una de las posibles fuentes de problemas con el correo electrónico, ya que a veces contienen noticias falsas, pueden ser portadores de virus, etc.

Criptografía: Disciplina que se ocupa de la seguridad de la transmisión y el almacenamiento de la información.

Denegación de servicio: Ataque informático que, sin afectar a la información contenida en un sistema, lo deja incapacitado para prestar servicio. La denegación puede conseguirse mediante la saturación o el bloqueo de las máquinas.

E-mail: Abreviatura del inglés electronic mail, correo electrónico.

Fibra óptica: Tecnología para transmitir información como pulsos luminosos a través de un conducto de fibra de vidrio. La fibra óptica transporta mucha más información que el Cable de cobre convencional. La mayoría de las líneas de larga distancia de las compañías telefónicas utilizan la fibra óptica. Firewall: Sistema de red que controla a que máquinas y servicios se puede acceder dentro de una red. Puede ser un sistema especializado o un programa instalado (firewall

http://www.monografias.com/trabajos12/dispalm/dispalm.shtml

http://www.monografias.com/trabajos10/ponency/ponency.shtml

http://www.monografias.com/trabajos6/napro/napro.shtml

http://www.monografias.com/trabajos14/administ-procesos/administ-procesos.shtml#PROCE

http://www.monografias.com/trabajos7/sisinf/sisinf.shtml


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

6 de 123




personal). Cuando este control se realiza sobre la información trasmitida y no simplemente sobre la conexión el sistema empleado es un proxy.

Hardware: Es la parte tangible del computador.

Impresora: Dispositivo periférico que reproduce textos e imágenes en papel.

Información: Es lo que se obtiene del procesamiento de datos, es el resultado final.

Internet: Conjunto de computadoras, o servidores, conectado en una red de redes mundial, que comparten un mismo protocolo de comunicación, y que presentan servicios a las computadoras que se conectan a esa red.

Laptop: Computadora portátil.

Multimedia: Combinación de texto, imagen (estática y en movimiento) y sonido.

Navegador: Programa que permite navegar por internet.

Periféricos: Cualquier dispositivo de hardware conectado a una computadora. Programa: Es una colección de instrucciones que indican a la computadora que debe hacer. Un programa se denomina software, por lo tanto, programa, software e instrucción son sinónimos.

Red: Grupo de computadoras, impresoras y otro dispositivos conectados entre si y que comparten cierta información.

SAIU: Hospital San Ángel Inn Universidad.

Servidor: Computadora que suministra información a través de una red a otras computadoras.

Sistema operativo: Programa que administra los demás programas en una computadora. Spam: Correo comercial no solicitado que se envía a través de internet. El volumen y


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

7 de 123




contenido del spam puede dificultar notablemente el uso de servicios de correo electrónico.

Software: Conjunto de programas, documentos, procesamientos y rutinas asociadas con la operación de un sistema de computadoras, es decir, la parte intangible de computador.

TI: Tecnologías de la Información.

Troyano: Código malicioso camuflado dentro de otro programa aparentemente útil e inofensivo. Los troyanos pueden ir incluidos dentro de programas conocidos, de forma que es necesario controlar la fuente de donde se obtiene el software.

USB (Universal Serial Bus): es una interface de tipo plug & play entre una computadora y ciertos dispositivos, por ejemplo, teclados, teléfonos, escáner e impresoras. Usuario: Cualquier individuo que interactúa con la computadora a nivel de aplicación. Los programadores, operadores y otro personal técnico no son considerados usuarios cuando trabajan con la computadora a nivel profesional. Virus: El tipo más conocido de código malicioso. Programa que se copia dentro de otros programas e intenta reproducirse el mayor número de veces posible. Aunque no siempre es así, la mayoría de las veces el virus, además de copiarse, altera o destruye la información de los sistemas en los que se ejecuta.

http://www.monografias.com/Computacion/Programacion/

http://www.monografias.com/trabajos14/comer/comer.shtml

http://www.monografias.com/trabajos11/teosis/teosis.shtml

http://www.monografias.com/trabajos11/fuper/fuper.shtml


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

8 de 123




3. PROPÓSITO

Homologar los procesos que se realizan en el área de Tecnología de la Información (TI), con el propósito de lograr un control interno adecuado para el acceso y uso adecuado de equipo e información generada del Hospital San Ángel Inn Universidad, de los servicios de salud, siempre teniendo presente en salvaguardar y optimizar dichos recursos informáticos de la institución.

4. ALCANCE

Es aplicable para el área de Tecnología de la Información del Hospital San Ángel Inn Universidad, así como para los diferentes departamentos y proveedores que intervengan en dicho proceso.

5. OBJETIVOS

Objetivo general Establecer un mecanismo que integre, organice y regule todas las actividades del área de Tecnología de la Información para la adecuada conformación y funcionamiento del servicio, garantizando así una asistencia oportuna y eficaz ante cualquier situación, a efecto de reducir tiempos y mejorar la calidad, y seguridad de la información creada por el hospital. Objetivos específicos

Brindar soporte a las áreas clínicas y administrativas en las actividades relacionadas con el uso de software, registro y resguardo de información.

Mantener el hardware en funcionamiento para el uso de las áreas clínicas y administrativas.

Establecer un control en la asignación, uso, mantenimiento y acceso de los recursos informáticos del hospital.

Conformar un sistema de almacenamiento de datos, a fin de resguardar la información sensible del hospital.

Proteger la información del hospital de ataques de virus informáticos y cualquier otra amenaza digital.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

9 de 123




6. Organigrama General


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

10 de 123




6.1. Organigrama del área de Tecnología de la Información

Gerencia de TI

Jefatura de TI

Analista de TI, matutino

Analista de TI, vespertino


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

11 de 123




Responsabilidades

Gerente de TI Jefe de TI Analistas de TI

Conocer los procesos operativos fundamentales del Hospital.



Sugerir alternativas de solución a problemas operativos que sea factible solucionar con el uso de tecnologías de información.

Sugerir alternativas de solución a problemas operativos que sea factible solucionar con el uso de tecnologías de información.

Instalar y actualizar los equipos de cómputo y periféricos.

Autorización de compra de equipo/herramientas.

Recibir los equipos de cómputo y

periféricos de proveedores.

Mantener actualizado un

inventario de los equipos de

cómputo, periféricos y

equipos de comunicación.

Análisis de propuestas de proveedores.

Supervisar y mantener actualizado un

inventario de los equipos de cómputo,

periféricos y equipos de comunicación.

Solucionar los problemas que

se presentan en los equipos

de cómputo, periféricos,

equipos de comunicaciones y

software.

Proponer las medidas de apoyo para el personal de TI.

Mantener actualizado el inventario de

accesos autorizados a Internet, así

como las cuentas de correo oficiales.

Ejecutar el plan de mantenimiento de los equipos de cómputo y periféricos.

Dirigir y Planificar las asesorías tecnológicas al personal de TI.

Recibir los reportes de fallas de equipos

de cómputo, periféricos, equipos de

comunicaciones y software, registrarlos

en una bitácora de servicio y

proporcionar número de reporte al

usuario.

Cablear los servicios de voz y datos que se requieran.

Proponer y administrar el presupuesto de gastos de TI.

Elaborar el plan de mantenimiento de los

equipos de cómputo y periféricos.

Asesorar a los usuarios en el

uso de los equipos,

programas y sistemas

aplicativos que existen en el

hospital.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

12 de 123




La firma de pólizas con proveedores.

Asegurar el buen funcionamiento en las

redes de comunicación de voz y datos

de la unidad, proporcionando el

calendario de mantenimiento preventivo

y correctivo de sus componentes.

Migrar los datos en caso de cambios de hardware o software, equipos de usuarios.

Firma de contratos con terceros. Mantener actualizados los programas

antivirus y resolver las contingencias

causadas por virus informáticos o código

malicioso.

Efectuar copias de respaldo de los datos críticos.

Relación continúa con proveedores.

Administrar las cuentas de acceso de los

usuarios, tanto de acceso a la red como

de las aplicaciones instaladas.

Realizar check list de servidores.

Administrar, actualizar y mantener en

operatividad los programas aplicativos

instalados.

Atender solicitudes de servicios.

Verificar que los sistemas y programas

se estén aplicando de acuerdo a las

funciones y necesidades de los

usuarios.

Resguardo de herramienta de trabajo.

Supervisar copias de respaldo de los

datos críticos del hospital.

Limpieza de SITE, TRS y almacenes.

Vigilar que se cumpla el reglamento de

uso aceptable de equipos de cómputo e

informar a sus mandos superiores en

caso de incumplimiento.

Monitoreo constate de servidores.

Atender solicitudes de servicio Monitoreo de cámaras de vigilancia

Creación de plan de actualizaciones Monitorear el comportamiento de la red.

Solicitud de equipo de trabajo


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

13 de 123




Realiza flujogramas de procesos, normas y procedimientos de Sistemas.

Reporte de fallas con proveedores.

Elabora informes periódicos de las actividades realizadas.

Instalación y mantenimiento de software propio o programas comerciales.

Supervisa el trabajo del personal a su cargo.

Instalación y configuración de componentes internos o externos.

Reporte de fallas con proveedores Control de la red.

Elaborar solicitudes de pagos de productos/servicios

Formación de los usuarios.

Supervisión de la red Mantenimiento de los equipos, detección y resolución de averías.

Establecer criterios de seguridad. Gestión de cuentas de usuario y asignación de recursos a las mismas.

Supervisión de cuentas de usuario y asignación de recursos a las mismas.

Relación continúa con proveedores.

7. RELACIÓN DE TI CON EL HOSPITAL Comunicación interdepartamental.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

14 de 123




RELACIÓN CON EL ÁREA DE COMPRAS

TI

Dierección Medica/áreas

clinicas

Enfermería

Áreas Administrativas

Almacen General

Calidad Capital

Humano

Compras

Contabilidad

Admisión


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

15 de 123




RELACIÓN CON ÁREA DE CONTABILIDAD

Actividad Responsable

Solicitud de pago de servicio de telefonía TI (Jefatura) Solicitud de pago de impresoras

Solicitud de pago de servicios.

Solicitud de compra de activos fijos

Solicitud de pago de pólizas, mantenimientos.

Atención de reportes

Revisión de documentos entregados por TI compras Creación de solicitud de compra

Envió de solicitud de compra a proveedor y TI vía correo

Envió de documentación a cuentas por pagar

Levantamiento de reporte para TI

TI COMPRAS


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

16 de 123




TI CONTABILIDAD

RELACIÓN CON ÁREA DE ALMACÉN GENERAL


Solicitud de alta de activo fijo a contabilidad TI

Entrega de folio de alta de activo fijo a TI Contabilidad

Verificación de pago a proveedor TI

Pago de proveedor Cuentas por pagar

Levantamiento de reporte para TI Contabilidad

Atención de reportes TI


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

17 de 123




RELACIÓN CON ÁREAS ADMINISTRATIVAS

TI Almacén


Solicitud de papelería TI (jefatura, Analistas)

Entrega de papelería Almacén

Recepción de equipos Almacén

Aviso de llegar de equipo Almacén

Recoger equipos del almacén TI (jefatura, analistas)

Firma de equipos recibidos TI (jefatura)

Levantamiento de reporte para TI Almacén



Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

18 de 123





Solicitud de servicio Área administrativa

Atención de servicio TI (jefatura, analistas)

Solución de servicio TI(jefatura, analistas)

Conformidad de solución Área administrativa

Solicitud de reportes Área administrativa

Envió de reportes TI (jefatura)

Levantamiento de reporte para TI Área administrativa


TI Áreas

administrativas


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

19 de 123




RELACIÓN CON ENFERMERÍA


Solicitud de formato de acceso SAP/VHS Gerencia de enfermería

Autorización formato de acceso SAP/VHS Director General

Creación de usuario SAP/ VHS TI (jefatura)

Redacción de responsiva de acceso TI (jefatura, analistas)

Firma de responsiva Solicitante

Resguardo de responsiva TI

Solicitud de cambio clave Solicitante/identificación

Cambio de clave en sistemas TI (jefatura, analistas)

Levantamiento de reporte para TI Personal de enfermería


TI Enfermería


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

20 de 123




RELACIÓN CON ÁREAS CLÍNICAS


Solicitud de servicio Área administrativa



Conformidad de solución Área administrativa

Solicitud de formato de acceso S VHS R.H (doc. Staff) , A. Médicos (doc. Externos)

Autorización formato de acceso VHS R.H (doc. Staff) , A. Médicos (doc. Externos)

Creación de usuario VHS TI (jefatura, analistas)

Redacción de responsiva de acceso TI (jefatura, analistas)

Firma de responsiva Solicitante

Resguardo de responsiva TI

Solicitud de cambio clave Solicitante/identificación

Cambio de clave TI (jefatura, analistas)

TI Dirección

Medica/áreas clinicas


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

21 de 123




RELACIÓN CON CAPITAL HUMANO


Solicitud de servicio Capital Humano



Conformidad de solución Capital Humano

Publicación de lineamientos Capital Humano

Apego a lineamientos TI

Solicitud de información TI

Entrega de información Capital Humano

Retroalimentación de personal TI

Resguardo de retroalimentación Capital Humano

RELACIÓN CON CALIDAD

TI Capital Humano


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

22 de 123





Solicitud de servicio Calidad



Conformidad de solución Calidad

Publicación de normativas Calidad

Apego a normativas TI

Solicitud de indicadores Calidad

Entrega de indicadores TI (jefatura)

TI Calidad


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

23 de 123




8. COMUNICACIÓN TI CON PROVEEDORES


Solicitud de servicio Personal de TI

Atención de servicio Proveedores

Difusión de políticas TI(jefatura)

Apego a políticas Proveedores

Continua comunicación Personal de TI/ Proveedores

TI

ANTIVIRUS

bitdefender

PACS

Mesa de ayuda SAP

VHS

NEC

GESAC

SCANDA

KUNAT

BARRACUDA

KYOCERA


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

24 de 123




9. POLÍTICA GLOBAL DE SEGURIDAD DE LA INFORMACIÓN

El Hospital San Ángel Inn Universidad como propietario de la información física así como de la información generada, procesada, almacenada y transmitida por medio de sus canales de comunicación, otorgará responsabilidad a las áreas sobre sus activos de información, asegurando el cumplimiento que regulen el uso adecuado de la misma. La información, archivos físicos, los sistemas, los servicios y los equipos (pc, laptop, impresoras, cables redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos) propiedad del hospital, son activos de la institución y se proporcionan a los trabajadores y terceros autorizados, para cumplir con los propósitos de sus respectivas áreas. Toda la información que se genera dentro del hospital, así como los activos donde ésta se almacena y se procesa deben ser asignados a un responsable, inventariados y posteriormente clasificados. La información es un activo fundamental para la prestación de los servicios y la toma de decisiones eficientes dentro del Hospital San ángel Inn Universidad, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia de la administración de riesgos y la consolidación de una cultura de seguridad. La implementación de un modelo de gestión de seguridad de la información como una herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad. Los colaboradores, personal externo, proveedores y todos aquellos que tengan responsabilidades sobre los datos, almacenamientos y recursos de procesamiento de la información, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información. La Política Global de Seguridad de la Información se encuentra soportada por políticas, normas y procedimientos específicos los cuales guiarán el manejo adecuado de la información.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

25 de 123




Las Políticas de Seguridad de la Información pretenden instituir y afianzar la cultura de seguridad de la información entre los colaboradores, personal externo y proveedores. Por tal razón, es necesaria que las violaciones a las Políticas Seguridad de la Información sean clasificadas, con el objetivo de aplicar medidas correctivas conforme con los niveles de clasificación definidos y mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.

10. INFRAESTRUCTURA DE HARDWARE (EQUIPOS, DISPOSITIVOS, APARATOS) y SOFTWARE

OBJETIVO Garantizar el adecuado funcionamiento de los equipos de cómputo, telefónicos e impresión de la institución, tanto física como lógicamente. La finalidad de las políticas de uso de hardware y software que se describen más adelante es proporcionar instrucciones específicas sobre cómo mantener seguros los equipos de la Institución (conectados o no en red), así como la información guardada en ellos. ALCANCE Estas políticas son aplicables a todos los equipos propiedad del hospital, así como a sus respetivos responsables. RESPONSABILIDADES DE TI La responsabilidad de TI ante la adquisición, instalación, mantenimiento y buen funcionamiento de los equipos, dispositivos de la Institución son las siguientes:

Deberá vigilar y llevar un inventario detallado de la infraestructura de Hardware, acorde con las necesidades existentes.

Deberá determinar la vida útil de los equipos de informática, con la finalidad de optimizar su uso.

El área de TI es responsable de recibir los equipos pc y/o portátil para su reasignación o disposición final, y generar copias de seguridad de la información


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

26 de 123




de los equipos que se retiran o cambian de labores, cuando les es formalmente solicitado.

Es responsabilidad del área de TI realizar un análisis de riesgos de seguridad de manera periódica, sobre la colocación física de los equipos.

El área de TI debe definir las condiciones de uso y protección de los activos de información, tanto los tecnológicos como aquellos que no lo son.

El área de TI debe realizar revisiones periódicas de los recursos dentro del SITE y los sistemas de información del hospital, mediante un check list.

El área de TI debe establecer una configuración adecuada para los recursos tecnológicos, con el fin de preservar la seguridad de la información y hacer un uso adecuado de ellos. Todos los equipos pc y laptop propiedad del hospital deben contar con una contraseña personalizada. De acuerdo a la privacidad de la información se deben de contar con medidas robustas de seguridad como cifrados de discos.

Deberá participar en los contratos de adquisición de bienes y/o servicios, donde se incluyan equipos informáticos como parte integrante o complementaria de otros.

Deberá confirmar que los equipos de informática cumplan con las especificaciones indicadas en las solicitudes de compra, de no ser así se encargará de la devolución de los mismos.

Deberá realizar el mantenimiento técnico preventivo de todos los equipos informáticos de la Institución.

Será responsable de instalar los equipos y programas informáticos utilizados en la Institución.

Será responsable de evaluar el área física donde se instalara un nuevo equipo informático, confirmando que el área este óptima para la instalación de los mismos.

Verificará que los equipos tecnológicos tengan: disponibilidad de energía eléctrica, cableado estructurado y mantengan las condiciones físicas aceptables y adecuadas de temperatura, entre otros.

Deberá solicitar al Departamento de mantenimiento las infraestructuras o servicios de disponibilidades eléctricas, etc., previamente a la instalación de los equipos informáticos requeridos.

Verificará el inventario de los equipos y programas informáticos que sean instalados, con la finalidad de llevar un control de los mismos.

Instalará todas las aplicaciones de los equipos y programas informáticos utilizados por el hospital.

Instruirá al Usuario sobre el uso y manejo adecuado de los equipos y programas informáticos instalados.

Verificará que los proveedores de programas de computadoras suministren los manuales correspondientes al funcionamiento de los equipos o programas especializados.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

27 de 123




Restringirá el acceso a los equipos tecnológicos mediante contraseñas personalizadas.

El área de TI garantizara el servicio de red para el funcionamiento de todos los equipos que necesiten conexión de red.

El personal de TI debe de reportar al técnico de impresiones fallas con equipos de impresión y escaneo.

Es responsabilidad del técnico de impresiones el realizar el mantenimiento preventivo y correctivo de los equipos de impresión.

Es responsabilidad del técnico de impresiones el solicitar las refacciones y tóner correspondientes a cada equipo que se tenga con falla o falta de tóner en el hospital. Esto supervisado por el jefe de TI.

Velará porque todo el software instalado en los equipos, este legalmente licenciado.

Tendrá la custodia y almacenamiento de todos los programas informáticos del hospital.

Definirá los discos de Red de todas las áreas, para poder fragmentar el acceso a la información y una mejor organización.

Establecerá configuraciones automatizadas para que los usuarios guarden toda su información en los discos de red cuando así se requiera

Los equipos portátiles tienen que tener una protección de cifrado de disco. RESPONSABILIDADES DE LOS USUARIOS Los recursos informáticos asignados a los usuarios, deben usarse adecuadamente, con responsabilidad acorde a los siguientes lineamientos:

Las jefaturas y direcciones serán la única responsable de hacer requerimientos de los activos informáticos que hayan sido proyectados, según las necesidades que se presenten en cada área de trabajo. Solicitando el activo mediante el formato de nuevo equipo, firmado por las personas indicadas, indicando el motivo de la solicitud.

Los directores y Jefes de Oficina, o quien ellos designen, deben recibir los recursos tecnológicos asignados a sus colaboradores cuando estos se retiran del hospital o sean asignados a otras áreas , quedando a su resguardo.

Los propietarios de los activos de información son responsables del cuidado de los equipos asignados para la realización de sus actividades, creando un ambiente seguro.

Solo podrán utilizar los equipos asignados para ejecutar las actividades o tareas institucionales. Los equipos informáticos sólo deben usarse para actividades de trabajo, no está permitida la utilización de los equipos con fines recreativos, ni con fines particulares.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

28 de 123




No podrán usar equipos tecnológicos personales como: laptops, dispositivo informático, etc., en el área de trabajo. El personal de TI no se responsabiliza de la información que en este en equipos personales.

No podrá traer ni efectuar solicitudes a TI, de reparación de equipos tecnológicos personales.

Los propietarios de los activos de información deben ser conscientes que los recursos de procesamiento de información del hospital, se encuentran sujetos a auditorías por parte de TI, así como la realización de respaldos, actividad que no requiere consentimiento para equipos en áreas comunes.

No podrá usar los equipos de cómputo como equipos de piza papeles, o para colocar equipos sobre estos.

Los usuarios deberán cuidar física y lógicamente los recursos informáticos; pensando que estos están al servicio de todos.

No manipular alimentos sobre los equipos informáticos teniendo especial cuidado de no derramar líquido en ellos. En caso de daño el personal de TI realizara un dictamen técnico el cual será firmado por el jefe y gerencia de TI, responsable del área y Dirección General.

Al detectar alguna falla en el equipo el usuario reportara el problema con personal de TI. Por ningún motivo se permite que el usuario de solución a la falla.

El usuario no deberá abrir los equipos informáticos, como tampoco sacar o cambiar componentes de los mismos.

Evitar instalar equipos sin la supervisión y autorización expresa de Tecnología Informática.

No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de la institución se requiere el documento de salida de equipos con la autorización respectiva de Tecnología Informática y Administrativo.

La pérdida o robo de cualquier componente de hardware o programa de software debe ser reportada inmediatamente.

El usuario será responsable del equipo de cómputo entregado por Tecnología Informática. Se firmara carta responsiva.

Está prohibido instalar y/o descargar juegos, videos, música ni aplicaciones de ningún tipo de las páginas del Internet, discos extraíbles que no guarden relación con el hospital.

Está prohibido tener en los discos de Red archivos que no tengan o guarden relación con el hospital.

Está prohibido desinstalar, desactivar el Antivirus de su equipo, ya es de alto riesgo para la seguridad ante el peligro de los virus.

Deberá informar a TI, en caso de presentarse cualquier problema de virus en su equipo informático.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

29 de 123




Todos los equipos deben disponer de servicios de navegación en Internet y correo electrónico si así se requiere por la naturaleza de sus actividades.

El equipo pc/laptop que sea entregado al usuario contendrá en el disco duro el software básico para su operación, paquetería office, antivirus, SAP, software propio del departamento.

La solicitud para la implementación de Sistema o Software que se requiera debe ser enviada por el responsable del departamento respectivo al responsable de TI.

El usuario deberá mantener los archivos de su equipo ordenados, siendo de su responsabilidad conservar espacio suficiente en el disco duro para poder ejecutar sus aplicaciones.

La instalación de software y/o sistemas sólo podrán ser efectuadas por el personal de TI, siendo este el que efectúe las pruebas técnicas de la instalación, encargándose posteriormente de su mantenimiento y respaldos.

Respetar la propiedad intelectual y licencias. El usuario no podrá copiar o redistribuir programas con licencias, datos o investigaciones sin autorización expresa de TI.

La instalación de un software y/o Sistema no autorizado por TI puede provocar que alguna aplicación no funcione adecuadamente, lo que implica el retiro inmediato del software.

Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al personal de TI.

Los usuarios deben asumir que todo el software que está instalado en sus equipos está protegido por derechos de autor y requiere licencia de uso. Por tal razón es ilegal y está terminantemente prohibido hacer copias o usar ese software para fines personales, ya que puede significar sanciones legales para el hospital.

El usuario no podrá alterar o modificar Software y/o Sistema que se encuentran a su disposición.

No deben usarse medios de almacenamiento en cualquier computadora del hospital a menos que se haya previamente verificado que están libres de virus u otros agentes dañinos. En las centrales de enfermería queda prohibido el uso de medios extraíbles.

La instalación y uso de software de juegos no será autorizado bajo ninguna circunstancia, por lo que su uso está prohibido.

No debe utilizarse software descargado de Internet y en general software que provenga de una fuente no confiable, a menos que se haya sido aprobado su uso por el departamento de TI.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

30 de 123



Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006

Proceso de compra de Activo Fijo

Dirección GeneralUsuario Final TI Corporativo Contabilidad Compras Proveedor Almacén General

Fase

INICIO

El usuario final llena el formato de

solicitud de equipo de computo

La solicitud es por nueva vacante

La solicitud es por falla de equipo

Se manda formato a Dirección General

para firma

Usuario firma responsiva de

equipo

Se aprueba compra

Se instala Wyse

FIN

Se firma formato de compra

Se manda formato a firma a Corporativo

Se realizan 3 cotizaciones de

equipos

Seleccionar mejor opción

Gerencia de TI firma el formato de

compra

Se manda formato de compra a

Dirección General

Se manda solicitud de alta de activos a

contabilidad

Se realiza la solicitud de

producto en SAP

Se crea juego de copias para

Compras

Se firman los juegos1 para TI y 1 para

Compras

Se firma formato de compra

Se envía formato a TI

Se da de alta el activo fijo

Se envía a TI el alta para SAP

Compras verifica la información

Información correcta

Compras realiza su proceso

Se crea la orden y se manda a proveedor

SI

NO

NO

SI

SI

NO

SI

NO

Recibe la orden de compra

Indica al área de TI cuando llega el

equipo

Envía el equipo a las instalaciones del

Hospital

Almacén recibe el equipo

Ingresa el equipo a SAP

Informa al área de TI la llegada del

equipo

Personal de TI recoge el equipo en

almacen

Se informa al usuario Final la llega del equipo

Se configura equipo

Se instala equipo en el lugar físico del

usuario


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

31 de 123




Proceso de Compra de activo Fijo

Dirección GeneralUsuario Final TI

Fase

INICIO

El usuario final llena el formato de

solicitud de equipo de computo

La solicitud es por nueva vacante

La solicitud es por falla de equipo

Se configura equipo

Se realiza diagnostico del

equipo

El equipo queda funcionando con mantenimiento

correctivo

Se realiza mantenimiento

correctivo

SI

Se instala equipo en el lugar físico del

usuario

NO

Se aprueba compra

Se instala Wyse

FIN

Se crea diagnostico del equipo

indicando cambio por falla

NONO

Se realizan 3 cotizaciones de

equipos

Se sigue proceso de compras

SI


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

32 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

33 de 123




11. POLÍTICA DE ACCESO A REDES Y RECURSOS DE RED

OBJETIVO Tener un adecuado control del acceso a las diferentes redes del hospital, dentro y fuera de las instalaciones. ALCANCE Todas las redes cableadas e inalámbricas del hospital, así como a todos los equipos propios y/o externos que tengan acceso. El área de TI, como responsables de las redes de datos y los recursos de red del hospital, debe garantizar la seguridad contra accesos no autorizados a través de mecanismos de control de acceso lógico. Normas dirigidas a: TI Se debe establecer un procedimiento de autorización y controles para proteger el acceso a las redes de datos y los recursos de red del hospital. Se debe asegurar que las redes inalámbricas del hospital cuenten con métodos de seguridad que evite accesos no autorizados. El área de TI debe autorizar la creación o modificación de las redes inalámbricas o recursos de red. El personal de TI debe verificar periódicamente los controles de acceso para los usuarios provistos por terceras partes, con el fin de revisar que dichos usuarios tengan acceso permitido únicamente a aquellos recursos de red y servicios para los que fueron autorizados.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

34 de 123




Normas dirigidas a: TODOS LOS USUARIOS Todos los equipos de cómputo conectados a la red del hospital cuentan con los privilegios necesarios para el manejo de herramientas que usan la red como SAP, VHS, correo electrónico, portales de asegurados, portales de salud, gobiernos, bancos, etc. La navegación de redes sociales, chats, compras en línea, etc. Contenidos ajenos a las actividades del hospital quedan totalmente prohibidos. Los equipos de móviles personales de usuario que se conecten o deseen conectarse a las redes de datos del hospital deben cumplir con el llenado de formato de solicitud de conexión a la red de equipos externos, firmado por el jefe de área y el director del hospital. Todos estos equipos se conectaran exclusivamente a la red de invitados.

12. POLÍTICA DE USO ADECUADO DE INTERNET

OBJETIVO El área de TI proporcionará los recursos necesarios para asegurar la disponibilidad de acceso a internet a los usuarios que así lo requieran para el desarrollo de sus actividades diarias en el instituto. ALCANCE Estas políticas son aplicadas a todos los equipos y usuarios que por la naturaleza de sus actividades necesiten el acceso a la web. NORMAS DE USO ADECUADO DE INTERNET El área de TI monitoreará, controlará y fiscalizará el acceso de los usuarios al Internet. Cualquier violación o uso indebido del acceso a Internet conllevará acción. Se considera uso aceptable del acceso a Internet el acceso para la búsqueda de información e intercambio de datos relacionado a la función administrativa, la gestión académica y de investigación, procesos educativos, y toda otra función relacionada a la operación hospitalaria.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

35 de 123




Si un empleado no está seguro sobre qué constituye un uso aceptable de Internet, pídale que consulte a su supervisor para mayor guía y clarificación. Todos los términos y condiciones indicados en este documento son aplicables a todos los usuarios de la red y la conexión a Internet del hospital. Cualquier usuario que viole estas reglas está sujeto a las acciones disciplinarias que el hospital estime apropiadas. Normas dirigidas a: TI

El área de TI debe proporcionar los recursos necesarios para la implementación, administración y mantenimiento requeridos para la prestación segura del servicio de Internet, bajo las restricciones de los perfiles de acceso establecidos.

El personal de TI debe diseñar e implementar mecanismos que permitan la continuidad o restablecimiento del servicio de Internet en caso de contingencia interna.

El personal de TI debe monitorear continuamente el canal o canales del servicio de Internet. Al detectar el mal uso de este recurso se enviara un correo con evidencia al jefe inmediato, capital humano indicando la falla.

Se debe establecer procedimientos e implementar controles para evitar la descarga de software no autorizado, evitar código malicioso proveniente de Internet y evitar el acceso a sitios catalogados como restringidos.

Se debe generar registros de la navegación y los accesos de los usuarios a Internet, así como establecer e implantar procedimientos de monitoreo sobre la utilización del servicio de Internet.

El personal de TI debe de monitorear mañana tarde y noche el ancho de banda del servicio de internet del enlace principal el cual es de 10 Megas.

Se debe generar una campaña para concientizar a los usuarios cuando utilicen el servicio de Internet.

El servicio de INTERNET es una serie de recursos de hardware y software y es el Departamento de TI el encargado de velar por la buena utilización de este recurso.

Las configuraciones del PC y su navegador es de exclusiva responsabilidad del Departamento de TI y siempre orientado a asegurar el ancho de banda para las aplicaciones y uso de interés del hospital.

El Departamento de TI de la DT velará por el cumplimiento de estas políticas,

resguardando los intereses de la Institución.

El Departamento de TI no se hará responsable por incidentes producidos por el no

cumplimiento de estas políticas de seguridad.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

36 de 123




Normas dirigidas a: TODOS LOS USUARIOS

Los usuarios deben hacer uso del servicio de internet en relación con las actividades laborales que así lo requieran.

Los usuarios del servicio de Internet deben evitar la descarga de software desde internet, así como su instalación en sus equipos de trabajo.

No está permitido el acceso a páginas relacionadas con pornografía, drogas, alcohol, webproxys, hacking y/o cualquier otra página que vaya en contra de la ética moral, las leyes vigentes o políticas establecidas en este documento.

Los usuarios del servicio de internet tienen prohibido el acceso y el uso de servicios interactivos o mensajería instantánea como youtube, Facebook, Kazaa, MSN, Yahoo, Sype, Net2phome y otros similares, que tengan como objetivo crear comunidades para intercambiar información, o bien para fines diferentes a las actividades propias del hospital.

No está permitido la descarga, uso, intercambio y/o instalación de juegos, música, películas, protectores y fondos de pantalla, software de libre distribución, información y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnológica (hacking), entre otros.

No está permitido el intercambio no autorizado de información del hospital, de sus clientes y/o de sus colaboradores, con terceros.

No está permitido la transmisión de información confidencial del hospital con propósitos personales no relacionados a las funciones de trabajo o sin autorización.

Utilizar el acceso a Internet de forma que se cree congestión o degradación en dicho acceso, o poner en peligro de cualquier forma la productividad y operación de la Institución.

Utilizar el acceso a Internet para cualquier actividad que genere beneficio personal.

Realizar compras personales, no relacionados a funciones, a través del acceso a Internet.

Publicar electrónicamente falsa representación o representación no autorizada relacionada al hospital.

No se permite la utilización del acceso a Internet o de recursos tecnológicos para acceder y utilizar sistemas de correo electrónico públicos personales, tales como Hotmail, Yahoo Mail y Gmail.

Toda la información de Internet que sea redactada, transmitida y/o recibida por los sistemas informáticos del hospital se considera que pertenecen al hospital y se reconoce como parte de su información oficial.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

37 de 123




El equipamiento, servicios y tecnología utilizados para acceder a Internet son propiedad del hospital y se reserva el derecho de monitorizar el tráfico de Internet y monitorizar el acceso a la información que es redactada, enviada o recibida a través de sus conexiones online.

Todos los sitios y descargas pueden ser monitorizados y/o bloqueados por al área de TI si se estima que son dañinos y/o no productivos para el hospital.

La instalación de software tales como la tecnología de mensajería instantánea está estrictamente prohibido

No se puede compartir material confidencial, secretos comerciales, o información del hospital fuera de este a terceras personas o competencia sin autorización.

Los usuarios deben acceder a INTERNET usando el navegador que se provee en sus respectivos computadores. El navegador por defecto es el Microsoft Internet Explorer, google Chrome, Firefox.

Los usuarios pueden acceder a la red (Intramet) del hospital y cualquier otro sitio Internet que tenga relación con el quehacer hospitalario.

Está prohibido que cualquier persona ajena a la Institución haga uso del acceso a INTERNET. Para este caso se debe firmar el formato de confidencialidad de la información por el responsable de la personal y el solicitante.

Cada usuario deberá responsabilizarse de cualquier efecto NO deseado que provoque al intentar visitar algún sitio no permitido o bien instalar un programa NO autorizado ni licenciado.

Todo usuario que acceda a un sitio de contenido NO apropiado deberá responsabilizarse por cualquier eventual contagio o desperfecto ocasionado por la sola visita a este tipo de sitios.

Está prohibido el uso de este recurso para invadir la privacidad de otra persona, acosar, acechar o violar de otra manera los derechos de otros.

Queda prohibido que los usuarios accedan a otras redes privadas sin la autorización del Departamento de TI.

Para evitar algún problema de contagio masivo por el uso de programas NO autorizados por el departamento de TI, se prohíbe la instalación de software NO licenciado por la Institución, asimismo, serán auditados los programas instalados en cada equipo, entregando la información recogida a la autoridad competente que pueda evaluar las consecuencias de cada situación.

El uso de dispositivos móviles queda absolutamente prohibido, salvo autorización expresa del Departamento de TI, formato de acceso a dispositivos externos a la red.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

38 de 123




13. POLÍTICAS PARA EL USO DE DISPOSITIVOS MÓVILES

OBJETIVO Las presentes Condiciones de uso de los servicios de acceso de la red WiFi tienen como finalidad regular su utilización, y determinar las condiciones de acceso a los contenidos y servicios que, a través de Internet, se ponen a disposición de los empleados y usuario del hospital. El área de TI proveerá las condiciones para el manejo de los dispositivos móviles (teléfonos, tabletas, entre otros) institucionales y personales que hagan uso de servicios de red del hospital. ALCANCE Estas políticas aplican a todos dispositivos móviles pertenecientes o no al hospital y que requieren por cuestiones de trabajo o no acceso a la red. NORMAS PARA USO DE DISPOSITIVOS MÓVILES

Dentro del área de TI se cuenta con diferentes redes wifi dedicadas a diferentes tipos de usuarios. Red de invitados “Guest Universidad”-. Red totalmente visible, dedicada a dar servicio a terceras personas; personas ajenas al hospital y o personal operativo. Red totalmente abierta, el personal de TI ni el hospital se hacen responsables de la visualización de los contenidos a los que se pueden tener acceso. La clave de la red se cambia entre los primeros 5 días de cada mes. La cual es enviada vía correo a relaciones públicas para su divulgación a pacientes del hospital.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

39 de 123




Esta red funciona bajo un enlace de internet infinitum del cual es imposible entrar a la red del hospital. Red disponible desde sótano hasta piso 6.

Esquema de red inalámbrica Guest Universidad

Redes de uso exclusivo para el hospital Red de Imagen-. Red visible, de uso exclusivo para equipos médicos usados por biomédica e imagen. Red de Administrativos-U-. Red oculta, dedicada para la conexión de personal administrativo, jefaturas, encargados de área. Cuenta con bloqueos de internet, con el fin de filtrar contenido como youtube, Facebook. Red de feedbox-U-. Red oculta, dedicada para la conexión de las tabletas usadas en los servicios del hospital para recabar las encuestas. Cuenta con bloqueos de internet, con el fin de filtrar contenido como youtube, Facebook. Red de Directivos-U-. Red oculta, dedicada para el uso de directivos de área, directores generales y directores médicos. Red de TI-U-. Red oculta, de uso exclusivo para personal de TI, para la administración de redes, equipos. Red totalmente abierta.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

40 de 123




Por seguridad estas claves no son divulgadas, se colocan en los equipos por personal de TI, y su duración es mensual. Cada principio de mes la clave se tiene que cambiar por seguridad de la red e información. Estas redes están disponibles en todos los pisos del hospital, desde sótano hasta piso 10. Estas redes manejan un ancho de banda de 10 Megas.

Esquema de red inalámbrica

El área de TI debe configurar la opción de borrado remoto de información en los dispositivos móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no autorizada de información en caso de pérdida o robo. El área de TI debe instalar un software de antivirus en los dispositivos móviles institucionales. Normas dirigidas a: TODOS LOS USUARIOS Normas:


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

41 de 123




El usuario, usará el servicio de acceso WiFi de forma diligente y correcta y se compromete a no utilizarlo para la realización de actividades contrarias a la Ley, a la moral, a las buenas costumbres aceptadas y/o con fines o efectos ilícitos o prohibidos. El área de TI y el hospital San Ángel Inn Universidad declinan cualquier responsabilidad que de todo ello pudiera derivarse.

Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos.

Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos al momento de su entrega.

Los usuarios deben evitar la instalación de programas desde fuentes desconocidas.

Los usuarios deben, cada vez que el sistema de sus dispositivos móviles institucionales notifique de una actualización disponible, avisar al personal de TI para su asistencia.

Los usuarios deben evitar conectar los dispositivos móviles institucionales asignados por puerto USB a cualquier computador público, de hoteles o cafés internet, entre otros.

Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.

Los usuarios que almacén información del hospital en sus equipos móviles se hacen responsables del manejo de esta en caso de robo, perdida o extravió.

El personal operativo dentro del hospital no tiene permitido el uso del celular ni derecho a las conexiones wifi.

Es responsabilidad del área de Relaciones Publicas la divulgación de la contraseña de invitados a los pacientes y familiares.

Normas dirigidas a: TI

La administración de las redes móviles es una actividad exclusiva del personal de TI.

El personal de TI se encargara de la disponibilidad de las redes en cada una de las antenas dentro del hospital.

La creación propagación o eliminación de las redes inalámbricas estará a cargo del personal de TI.

Todo equipo móvil ya sea celular, Tablet, lap-top que requiera acceso a las redes wifi serán configurados por el área de TI.

El personal de TI se reserva la divulgación de las contraseñas de las redes móviles.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

42 de 123




El personal de TI se encargara de la colocación y/o cambio físico de antenas para una mejor propagación de la señal.

Es responsabilidad del área de TI el cambio de las contraseñas de estas redes cada mes.

Estas redes serán monitoreadas y en caso de detección de mal uso se realizara un reporte el cual será enviado vía correo a las jefaturas correspondientes con copia a capital humano.

El personal de TI escaneara las redes móviles y tendrá la facultad de negar el servicio a aquellos dispositivos que no tengan autorización del uso de este recurso.

El personal de TI dará acceso a las redes wifi al personal del hospital que presenten su formato de acceso firmado por el jefe de área, el director general del hospital, esta norma no se aplica a directivos. Estos equipos se conectara a la red de invitados

El personal de TI dará el acceso a la red de invitados a no más de 1 dispositivo por empleado que acredite el acceso; en habitaciones se deja como recomendación el uso de no más de tres equipos para conectarse a la red.

El área de TI facilita al usuario el acceso a los servicios de Internet, garantizando un ancho de banda mínimo adecuado para una correcta navegación.

El área de TI garantizará la disponibilidad y accesibilidad del servicio de acceso WiFi con continuidad. No obstante, pueden suceder eventualidades con fallas técnicas provenientes con la infraestructura del hospital y/o del proveedor de internet.

Se reserva la facultad de alterar sin aviso previo y en cualquier momento la configuración de las antenas y/ o redes. El usuario, reconoce y acepta que en cualquier instante el personal de TI puede suspender, desactivar o suprimir este servicio para mantenimiento.

El personal de TI no se responsabiliza si los equipos móviles propiedad de los usuarios no reconocen las configuraciones de la red. En este caso el personal de TI por ningún motivo está facultado para modificar las configuraciones de los dispositivos.

Los equipos personales que se conecten a las redes del hospital no contaran con la protección antivirus del hospital, por tal motivo el personal de TI ni el Hospital se responsabilizas del contagio de virus y demás software malicioso. Equipos de pacientes, familiares, etc.

En caso de dispositivos móviles inteligentes propiedad del hospital que almacenan información sensible, se buscan alternativas de seguridad de la información.

El área de TI debe establecer un método de bloqueo (por ejemplo, contraseñas) para los dispositivos móviles institucionales que serán entregados a los usuarios. Se debe configurar estos dispositivos para que pasado un tiempo de inactividad pasen automáticamente a modo de suspensión y, en consecuencia, se active el


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

43 de 123




bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado. Así como el borrado de información vía remota por extravió o robo, si el equipo permite cifrar o encriptar la información se activara esta opción.

14. POLÍTICAS SOBRE EL CORREO ELECTRÓNICO


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

44 de 123




OBJETIVO Establecer la normativa del uso del servicio de correo electrónico para el Hospital San Ángel Inn Universidad. PROPÓSITO Garantizar la disponibilidad del servicio de correo electrónico en todo momento. Así como vigilar el buen uso de esta herramienta. ALCANCE La normativa se aplicará al servicio de correo electrónico del Hospital San Ángel Inn Universidad que se ofrece desde la plataforma Microsoft Outlook. Esta política debe ser conocida y cumplida por todo el personal de la Institución que cuente con una cuenta de correo electrónico. POLÍTICAS El correo electrónico es una herramienta de comunicación e intercambio de información oficial entre personas, no es una herramienta de difusión indiscriminada de información.

CUENTAS Y BUZONES DE CORREO TOPOLOGÍA


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

45 de 123




Bajo el dominio “hsai.com.mx” se pueden distinguir tres tipos de cuentas: Personales, instituciones y organizativas. Cuentas Personales.- Identifican las direcciones de correo electrónico de una persona. Cuentas Institucionales-. Están asociadas a cargos. Las cuentas:

Direcciones generales, medicas.

Gerencias.

Coordinador área. Una persona tendrá acceso a una cuenta institucional en función de su cargo o de su actividad. Cuentas Organizativas -.Las cuentas organizativas están orientadas fundamentalmente a servicios. Pueden ser utilizadas por una o varias personas conjuntamente y son gestionadas por un responsable. Por consiguiente, este tipo de cuentas no están asociadas a cargos o personas. La administración de estas cuentas está a cargo del jefe de área, el cual indicara en que equipo o equipos se configurara la cuenta. SOLICITUD CREACIÓN/ELIMINACIÓN Los responsables de áreas y departamentos considerados en el otorgamiento de cuentas de correo electrónico establecerán, de acuerdo a su política interna y su estructura organizacional, la asignación de cuentas de correo electrónico a las personas que ellos determinen. La solicitud de cuentas de correo se realizara por parte del jefe del área correspondiente, llenando el formato de altas/bajas de cuentas de e-mail, donde se indicara quien solicita, el área, motivo de la solicitud, el nombre de la cuenta a dar de alta o baja. Tal documento debe de estar autorizado por EL DIRECTOR GENERAL DEL HOPISTAL. Este documento será entrego al departamento de TI para la creación o eliminación de la cuenta. TAMAÑO DE LOS BUZONES DE CORREO


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

46 de 123




Las cuentas de correo electrónico tienen una capacidad de almacenamiento de 1 GB en el servidor de correo, superado esta capacidad la actividad de envió /recepción de información estará afectada. Los archivos *.pst generados por Microsoft Outlook 2007 no deben de exceder de los 6GB para su buen funcionamiento. ENVÍO Y RECEPCIÓN DE MENSAJES Se ha de considerar que el correo enviado circula por distintos servidores de Internet y que éstos imponen libremente restricciones sobre los tamaños admitidos, por lo que cuanto más grande sea el tamaño del mensaje de correo mayor es la probabilidad de que sea rechazado, impidiendo, de este modo, que llegue a su destino. Las políticas de envío y recepción de correos por parte de TI son: 100 correos por hora. 1000 correos por día. Hasta 100 destinatarios por correo. Archivos adjuntos 6 MB. Si no se cumplen estas políticas de envío de correos la cuenta de e-mail se bloquea por sospecha de actividades de Anti spam, las cuentas bloqueadas por este motivo se reportan con el proveedor “TELMEX” dando como respuesta un tiempo de 72 horas para dar solución y desbloquear la cuenta. SEGURIDAD Son múltiples los problemas de seguridad que pueden afectar al correo electrónico, entre los que cabe destacar:

Robo de identidad.

Virus y sobre todo los gusanos que utilizan técnicas de spam para propagarse después de infectar un PC

Combinación de virus y spam. Las últimas generaciones de virus se han creado para ayudar a los spammers. Muchos spammers han incorporado código malicioso en su spam.

Ataques con direcciones falsificadas. Consiste en inundar el servidor de un dominio real con los errores generados por una máquina atacada al procesar spam para distribuirlo a miles de destinatarios. El spammer coloca como dirección receptora de estos errores un dominio real y un usuario aleatorio. Esto provocará problemas de ancho banda, colapso


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

47 de 123




del servidor (colas, disco etc.). Puede ser considerado una Ataque de denegación de Servicio.

Generación innecesaria de tráfico SMTP. El envío y encaminamiento de un simple mensaje de correo electrónico implica el uso de varios recursos: conexiones SMTP, consultas DNS, procesamientos por MTA. Los propios errores de SMTP, el spam, los virus etc., generan informes a direcciones falsificadas provocando confusión en los usuarios y generando un exceso de tráfico Por lo anterior se especifican las siguientes recomendaciones generales: Contraseña La contraseña de acceso al correo no debe ser cedida o facilitada a otros usuarios, siendo responsabilidad del propio usuario su custodia. VIRUS DE CORREO ELECTRÓNICO Y ANTISPAM El software de antivirus analiza todo el tráfico de correo entrante y saliente, y rechazan el envío de mensajes que contienen virus. RESPONSABILIDADES DE JEFES DE ÁREA

Es responsabilidad de cada jefatura llenar el formato de altas /bajas de cuentas de correo cada que se tiene un nuevo personal o la baja de este.

El formato debe contener todos los campos llenos sin excepción alguna. Firmado y autorizado solo por las personas que el formato indica. Quedando como hincapié que sin las firmas correspondientes no se realiza la actividad de alta o baja de cuentas de correos.

La cancelación de una cuenta implica: La imposibilidad de enviar y recibir nuevos correos. La eliminación de los correos almacenados en el servidor.

Al dar de baja una cuenta de correo electrónico el jefe de área es responsable de dar a conocer a sus proveedores internos y eternos la baja y sustitución de este.

RESPONSABILIDADES DE LOS USUARIOS

Los usuarios del servicio de correo son responsables de las actividades realizadas con sus cuentas y buzones asociados.

Esta responsabilidad supone el cuidado de los recursos que integran dicha cuenta y, particularmente, de los elementos, como la contraseña, que pueden permitir el acceso indebido de terceras personas a dicha cuenta o a otros recursos personales que se utilicen.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

48 de 123




Está prohibido facilitar y/o permitir el uso de la cuenta y buzón a cualquier otra persona distinta del propio usuario.

Los usuarios deben ser conscientes de la diferencia de utilizar direcciones de correo electrónico suministradas por el hospital o privadas, estas últimas quedan totalmente prohibidas para recibir o enviar información relacionada con las actividades del hospital.

Es incorrecto enviar mensajes con direcciones (remitente) no asignadas por los responsables de nuestra institución y, en general, es ilegal manipular las cabeceras de correo electrónico saliente.

El correo electrónico es una herramienta para el intercambio de información entre personas, no es una herramienta de difusión masiva e indiscriminada de información.

Los usuarios que tienen asignada una cuenta de correo electrónico, serán responsables en la atención oportuna de sus correos electrónicos; por lo que se recomienda: mantener en línea el software cliente de correo electrónico (Outlook), y activada la opción de avisar cuando llegue un nuevo mensaje, o conectarse al correo electrónico web con la mayor frecuencia posible para leer sus mensajes.

Los usuarios con cuenta de correo asignada deberán eliminar de forma periódica y permanente los mensajes que considere innecesarios en cualquiera de las carpetas existentes en su buzón, permitiendo con ello impedir la saturación de su buzón.

Al recibir un mensaje que se considere ofensivo, se debe reenviar el mensaje recibido al área de TI, con el fin de dar seguimiento a este acto y se puedan tomar las acciones respectivas.

Los usuarios deberán evitar la recepción de correo cuando se desconozca al remitente ya que en ocasiones este puede ser un mensaje con contenido basura o con virus.

Los usuarios son los responsables de la configuración del aspecto de visualización, organización. Etc. de su cuenta de correo, por ningún motivo pueden modificar las configuraciones de envió y recibido de información, así como la modificación o eliminación de su cuenta.

Utilizar siempre el campo "asunto" a fin de resumir el tema del mensaje.

Se deben enviar mensajes bien formateados y evitar el uso generalizado de letras mayúsculas.

Evitar usar las opciones de confirmación de entrega y lectura, a menos que sea un mensaje muy importante, ya que la mayoría de las veces esto provoca demasiado tráfico en la red.

Evitar enviar mensajes a personas que no se conocen, a menos que sea por un asunto oficial que los involucre.

Evitar enviar mensajes a listas globales, a menos que sea un asunto oficial que involucre a todo el hospital.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

49 de 123




Antes de enviar el mensaje revisar el texto que lo compone y los destinatarios, con el fin de corregir posibles errores de ortografía, forma y fondo.

Para el reenvío de un mensaje, se debe incluir el mensaje original, para que el destinatario conozca el contexto en que se está dando el mensaje que recibe. No se debe incluir ningún archivo adjunto recibido originalmente, a no ser que se hayan efectuado modificaciones al(los) archivo(s) o bien dichos archivos sean necesarios.

Se considera como criterio de buen uso del correo electrónico el otorgar vigencia máxima en el buzón del usuario a cualquier mensaje enviado o recibido no mayor a 30 días. Superada la fecha de vigencia, los mensajes deberán ser eliminados por el usuario. Si se desea mantener un mensaje en forma permanente, éste deberá almacenarse en carpetas personales, siendo consiente el usuario que estos correos almacenados ocuparán parte importante del espacio del disco duro.

El sistema de correo electrónico no constituye, de ninguna manera, un método de almacenamiento de documentación oficial. Toda comunicación electrónica que contenga documentación oficial debe ser tratado con seguridad.

RESPONSABILIDADES DE TI

La creación de las nuevas cuentas de correo por parte de TI tiene un lapso de tiempo no mayor a 2 días después de contar con el formato de solicitud de altas de cuentas de correo totalmente autorizado.

Es responsabilidad del área de TI la creación de la firma electrónica con el siguiente formato.

Una vez firmado el formato de bajas de cuentas de e-mail el personal de TI tiene como máximo 1 día para la eliminación de la cuenta en el servidor de correos. Dejando el respaldo de la cuenta intacto.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

50 de 123




Una vez entregado el formato de solicitud de baja de cuentas de correo totalmente autorizado el personal de TI no se responsabiliza de la actividad del mismo.

Se eliminarán aquellas cuentas de correo que no han sido consultadas durante un periodo continuado de 8 meses. Esto conlleva el borrado de los correos almacenados en dicha cuenta del servidor, realizando antes un respaldo de los correos.

El personal de TI será la encargada de garantizar la privacidad inicial de las cuentas de correo electrónico asignadas a los usuarios, esto debido a que conocerá de primera mano los nombres y contraseñas de los mismos, hasta la entrega oficial que se realice al usuario.

Sólo en el caso de que se detecte que un usuario este cometiendo una falta grave contra lo establecido en los presentes lineamientos para el uso del correo, el área de TI podrá tomar las medidas adecuadas respecto de dicha cuenta de correo.

La información transmitida mediante el servicio de correo electrónico, es responsabilidad única y exclusiva de cada usuario, no del personal de TI; por ello, el área de TI no garantiza la veracidad, integridad o calidad del contenido de los mensajes enviados mediante este servicio; si eventualmente el usuario recibiera contenido ofensivo o indecente no será, en ningún caso, responsabilidad del personal de TI.

El área de TI se reserva el derecho para conservar y / o revelar el contenido de algún mensaje si lo considera necesario para cumplir con procesos legales o para responder a leyes de transparencia, quejas de terceros por violación a derechos de autor, marcas, patentes; seguridad e integridad de los usuarios o por acciones que contravengan la normatividad existente.

El personal de TI se reserva el derecho para modificar las condiciones de uso aquí establecidas cuando lo considere necesario. También podrá modificar o bloquear servicios adicionales al servicio de correo cuando sea necesario, por razones administrativas, de mantenimiento de los equipos o por causas de fuerza mayor todo ello sin la obligación de aviso alguno a los usuarios del servicio.

El área de TI puede, en cualquier momento, cancelar o inhabilitar la cuenta de cualquier usuario sin previo aviso e incluso eliminar ésta por falta de uso, o bien; si considera que el usuario ha contravenido las reglas aquí mencionadas; en tales casos el personal de TI no se hace responsable de la información ni de eventuales repercusiones por dicha cancelación o inhabilitación.

Todas las cuentas del hospital se configuraran para conservar solo 10 días de correos en el servidor web, todo se almacena de forma local en el disco duro del equipo. Esto con el fin de evitar saturación en el servidor de correo.

DEL MAL USO DEL CORREO ELECTRÓNICO Se considera como mal uso del correo electrónico las siguientes actividades:


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

51 de 123




Utilizar el correo electrónico para cualquier propósito comercial, político, religioso o financiero ajeno a las actividades propias del hospital.

Participar en la propagación de mensajes encadenados.

Distribuir mensajes con contenidos impropios y / o lesivos que atenten contra la moral o las buenas costumbres.

La saturación y falta de mantenimiento del buzón electrónico por parte del usuario.

El usuario no deberá entre otras cosas: falsificar las cuentas de correo electrónico, hacerse pasar por alguna otra persona, hacer declaraciones falsas, en cualquier otra forma falsificar la identidad de alguna persona, o falsificar los encabezados de los mensajes.

Apropiarse de alguna(s) cuenta(s) de correo diferente a la asignada a su persona.

Utilizar el correo electrónico institucional para recoger o re - direccionar los mensajes de correos de otro proveedor de Internet. Queda prohíbo el uso de proveedores de correo que no sean propios del hospital como Yahoo!, Hotmail, Gmail.

Difusión de contenido inadecuado. Son considerados contenidos inadecuados todo lo que constituya complicidad con hechos delictivos, por ejemplo: apología del terrorismo, uso y / o distribución de programas piratas, todo tipo de pornografía, amenazas, estafas, esquemas de enriquecimiento, virus o código hostil en general.

No es aceptable el uso de vocabulario obsceno en los mensajes que se envían.

Enviar de forma masiva publicidad o cualquier otro tipo de correo no solicitado, "spam".

Ataques con objeto de imposibilitar o dificultar el servicio.

Dirigir a un usuario o al propio sistema de correo electrónico, mensajes que tengan el objetivo de paralizar el servicio por saturación de las líneas, de la capacidad del servidor de correo, o del espacio en disco del usuario.

Los correos electrónicos que adjunten documentos que no son propios del remitente, deberán citar siempre la fuente de origen y / o los autores, a fin de respetar los derechos de propiedad intelectual.

Si se recibe algo cuestionable o ilegal, se deberá comunicar de inmediato al área de TI para que se tomen las acciones pertinentes.

El área de TI es la responsable de que el personal del hospital cumpla con lo dispuesto en los presentes lineamientos.

Los archivos multimedia que no tengan relevancia para el hospital quedan prohibidos para su envió vía correo.

La información que se envíe por correo electrónico debe siempre responder a un comportamiento profesional y ético.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

52 de 123




Los equipos de cómputo que cuenten con más de una cuenta de correo electrónico deberán tener por separado los archivos *.pst de cada cuenta, esto con el fin de no mezclar información e identificar las carpetas de cada cuenta de correo.

Las cuentas de correo institucionales no pueden ser configuradas en los equipos móviles de los usuarios sin previa autorización y firma de formato de confidencialidad de información.

15. POLÍTICAS DE SEGURIDAD PARA EL USO DEL ANTIVIRUS

OBJETIVO


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

53 de 123




Esta política está desarrollada para proteger los equipos de cómputo e información del Hospital San Ángel Inn Universidad frente a virus, otro software malicioso así como el robo de información. ALCANCE El alcance de esta política se apega a todos los equipos que se conecten a las redes del hospital, equipos propiedad de SAIU y externos. INSTALACIÓN, CONFIGURACIÓN, ELIMINACIÓN DEL ANTIVIRUS La instalación y / modificación del sistema antivirus es una actividad exclusiva del área de TI. Todos los ordenadores deben ejecutar una versión actualizada de un software antivirus (Bitdefender). Este software debe ser capaz de proteger al sistema operativo y la información en tiempo real y de actualizarse de forma automática cada vez que el equipo se conecte a la red. La modificación o eliminación es una actividad exclusiva del personal de TI, por lo cual estas actividades están protegidas bajo una contraseña, la cual debe cambiar cada 2 meses en todos los equipos. PROTECCIÓN Mientras el equipo esté conectado a la red no se debe detener, en ningún caso, la protección y actualización del antivirus. Es responsabilidad del usuario final el reinicio del equipo cuando el sistema antivirus se lo solicite por motivos de actualizaciones de firmas, eliminación de virus, etc. Todos los equipos conectados a la MPLS de 10 Megas ya sea por cable o de forma inalámbrica debe de contar con el sistema antivirus Bitdefender. Queda fuera de esta modalidad los equipos conectados a la red de guest Universidad, la cual es una red de invitados independiente a las redes para uso exclusivo del hospital. Esquema de protección del sistema antivirus.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

54 de 123




SEGURIDAD PARA SERVIDORES VIRTUALES DEL HOSPITAL. La solución antivirus es compatible con los sistemas operativos virtuales donde se conectan los equipos wyse, donde se almacena la información de estos y donde se encuentran sistemas como el VHS, de esta forma se garantiza la protección antivirus. SEGURIDAD PARA PUNTOS FINALES Todos los equipos pc de escritorio y portátiles propiedad del hospital cuentan con una instalación que garantiza la protección contra amenazas de la red, dispositivos como discos extraíbles. Altamente escalable ofrece la protección que necesita el hospital contra el malware y las amenazas de la Web. La solución antivirus del hospital es capaz de:

Reducir el esfuerzo manual.

Compatible con los sistemas operativos y equipos.

Incluye firewall bidireccional de detección de intrusiones y anti - capacidades de phishing, filtrado web y de control web que bloquea cada vez más diversas amenazas.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

55 de 123




PROTECCIÓN EN LA NUBE Protege los sistemas y utiliza la tecnología de seguridad clasificada. No requiere un servidor físico en el lugar y el mantenimiento es administrado por la consola Nube.

Protección completa.

Consola en la nube, cuenta con un centro de control.

Tecnologías avanzadas de detección de amenazas y de optimización, tales como filtradas de contenido web.

Rápido de instalar y gestionar. CREACIÓN O DIFUSIÓN DE SOFTWARE MALICIOSO. En ningún caso los usuarios pueden escribir, compilar, copiar, propagar o ejecutar de forma intencionada en equipos que se conecten a la red de hospital código diseñado para replicarse, dañar, espiar o entorpecer el desempeño de cualquier sistema. ELIMINACIÓN DE VIRUS Periódicamente se hará el rastreo en los equipos de cómputo, y se realizará la actualización de las firmas antivirus proporcionadas por el fabricante de la solución antivirus en los equipos conectados a la Red. La actualización de firmas se debe de realizar de forma automática y constante. La eliminación es trasparente, en caso de un evento grave el sistema indicar al usuario el reinicio del equipo para la eliminación de la amenaza. RESPONSABILIDADES

Normas dirigidas a: TI

Implementar la Solución Antivirus en las computadoras (pcs, laptop, servidores)

del hospital.

Vigilar la actualización de la solución Antivirus y firmas correspondientes que se

realiza de forma automática.

Solucionar contingencias presentadas ante el surgimiento de virus que la solución

no haya detectado automáticamente.

Notificar al proveedor del antivirus en caso de contingencia con virus.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

56 de 123




Monitoreo contante de la consola con el fin de identificar equipos infectados,

historiales del comportamiento de equipos, modificación de políticas de seguridad.

(https://gravityzone.bitdefender.com/).

Atender correos/información transmitida por el proveedor de antivirus.

Se debe asegurar que el software de antivirus cuente con las licencias de uso requeridas, certificando así su autenticidad y la posibilidad de actualización periódica de las últimas bases de datos de firmas del proveedor del servicio.

Se debe asegurarse que los usuarios no puedan realizar cambios en la configuración del software de antivirus.

Se debe certificar que el software de antivirus, posea las últimas actualizaciones y parches de seguridad, para mitigar las vulnerabilidades de la plataforma tecnológica.

El área de TI aislará el equipo o red, notificando a la jefatura correspondiente, en

las condiciones siguientes:

1. Cuando la contingencia con virus no es controlada, con el fin de evitar la

propagación del virus a otros Equipos y redes.

2. Si el usuario viola las políticas antivirus.

Cada vez que los usuarios requieran hacer uso de discos, UBS, éstos serán

rastreados por la Solución Antivirus en la computadora del usuario al ser

introducidos al equipo y bloqueado si se detecta algún tipo de virus.

Los servidores virtuales serán escaneados de forma manual dos veces al mes.

(independientemente del escaneo automático de la herramienta). bitácora de

escaneo de servidores.

Los equipos pcs, laptop se escanearan de forma manual 1 ves al mes.

(independientemente del escaneo automático de la herramienta). bitácora de

escaneo de equipos de cómputo.

El área de TI debe certificar que la información almacenada en los equipos de cómputo sea escaneada por el software de antivirus, incluyendo la información que se encuentra contenida y es transmitida por el servicio de correo electrónico.

En caso de que el equipo no reconozca el antivirus del hospital se instalara el Microsoft Security Essentials, se levantara la incidencia y se buscara una solución por parte de TI.

En caso de contingencia con virus el área de TI deberá seguir el procedimiento establecido:

Identificación del equipo infectado.

https://gravityzone.bitdefender.com/

http://windows.microsoft.com/es-419/windows/security-essentials-download


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

57 de 123




Escaneo profundo del equipo para la eliminación del virus.

Eliminación de la amenaza de forma definitiva o cuarentena.

Creación de respaldo de información como medida preventiva una vez

desinfectado el equipo.

Reporte de la actividad, daño, estatus inicial y final.

Normas dirigidas a: los usuarios en general.

Los usuarios no deben cambiar o eliminar la configuración del software de antivirus, definida por el área de TI; por consiguiente, únicamente podrán realizar tareas de escaneo de virus en diferentes medios.

Si el usuario hace uso de medios de almacenamiento personales, éstos serán

rastreados por la Solución Antivirus en la computadora del usuario.

Los usuarios que sospechen o detecten alguna infección por software malicioso deben notificar al personal de TI.

Los usuarios deben asegurarse que los archivos adjuntos de los correos electrónicos descargados de internet o copiados de cualquier medio de almacenamiento, provienen de fuentes conocidas y seguras para evitar el contagio de virus informáticos y/o instalación de software malicioso en los equipos de cómputo.

El usuario deberá comunicarse con el área de TI en caso de problemas de virus

para buscar la solución.

Los usuarios deberán solicitar apoyo ante cualquier duda en el manejo de los

recursos de cómputo de la institución.

El usuario y el jede de área serán notificado por el área de TI en los siguientes

casos:

1. Cuando sea desconectado de la red con el fin de evitar la propagación del

virus a otros usuarios.

2. Cuando sus archivos resulten con daños irreparables por causa de virus.

3. Cuando viole las políticas antivirus.

Normas dirigidas a: Equipos externos / no propiedad de SAIU Las licencias de antivirus son de uso exclusivo para equipos propiedad del Hospital San Ángel Inn Universidad, los equipos externos de usuarios de hospitalización (pacientes, familiares, doctores) se conectaran en la red de invitados (esta red no tiene comunicación


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

58 de 123




con las redes internas del hospital, por lo cual los equipos conectados a esta red no tienen acceso a los documentos e información del hospital) sin excepción alguna. Los equipos móviles / computo de los colaborares o externos que acrediten mediante el formato de acceso a equipos externos a la red se conectaran a la red de invitados con el fin de proteger la información de personas externas. Si alguna persona requiere acceso a la red del hospital mediante un equipo externo, este firmara el formato de confidencialidad y la solicitud de acceso donde se plasmara el responsable del área que requiere este acceso. Se verificara que el equipo cuente con la protección de Microsoft Security Essentials.

http://windows.microsoft.com/es-419/windows/security-essentials-download


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

59 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

60 de 123




16. POLÍTICA DE INTERCAMBIO DE INFORMACIÓN

PROPÓSITO. Definir las directrices para proteger el intercambio de la información electrónica de forma interna y/o externa. ALCANCE Esta política se refiere a toda la información electrónica contenida en los activos físicos y lógicos del Hospital San Ángel Inn Universidad. Esta política es aplicable a todos los usuarios, ya sean de planta, suplencia, en evaluación y terceros (proveedores) que presenten servicios para el Hospital. NIVEL DE CONFIDENCIALIDAD Y PRIVACIDAD El Hospital ha clasificado el contenido de los mensajes (Información e ideas) de acuerdo al nivel de confidencialidad y o privacidad. Dicha clasificación se muestra a continuación: INFORMACIÓN PÚBLICA:


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

61 de 123




La información generada, administrada o en posesión de alguna entidad la cual es considerada un bien de dominio público accesible a cualquier persona.

Información Publica

No requiere protección

solicitud

oral

escrita

web/correo


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

62 de 123




INFORMACIÓN RESTRINGIDA: Es aquella que se encuentra temporalmente fuera del acceso públicodebido a que su difusión puede poner en riesgo la vida, seguridad y salud de las personas; así como la seguridad, estabilidad del Hospital San Ángel Inn Universidad. Esta información es propiedad del hospital y todos los grupos de interés deberán de dirigirla a ciertos receptores a través de medios o canales seguros, que no permiten el acceso de otros receptores a ésta información. Este material podría producir "efectos indeseados" si estuviera públicamente disponible.

Información restringida

Control de accesos fisicos

Contraseñas Almacenamiento y respaldos seguros

Requiere algunas medidas de seguridad


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

63 de 123




INFORMACION CONFIDENCIAL O PRIVADA: Se trata de una propiedad de la información que pretende garantizar el acceso sólo a las personas autorizadas. Toda información generada por las diferentes áreas del Hospital que por su naturaleza no puede ser revelada a terceros y por lo tanto no es publica, es de un nivel crítico y que por ello debe ser tratada y protegida con mayor atención.

información confidencial

control de acceso fisicos y logicos

encriptación canales seguros de tranportación

doble resguardo y respaldo en medios

seguros

Autorizaciión por la Direcciión General

alto grado de seguridad

http://definicion.de/informacion/


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

64 de 123




Información en el Hospital san Ángel Inn Universidad S.A de C.V

PUBLICA RESTRINGIDA CONFIDENCIAL O PRIVADA

Misión y visión del hospital Infraestructura de áreas criticas

Estados financieros

Valores Datos para INEGI Información contable

Normas de servicio Datos para la secretaria de Salud

Créditos otorgados

Metas internacionales Información que por ley se le otorga este rubro

Acuerdos directivos

Códigos Datos personales Acuerdos de junta de gobierno

Teléfonos de emergencia Sueldos y salarios Acuerdos comerciales

Correos electrónicos de atención al publico

Acuerdos entre áreas Datos fiscales

Folletos

Pagos y acuerdos aseguradoras

Acuerdos bancarios

Carteles

Pagos de proveedores Padecimiento de pacientes

Políticas

Contratos con usuarios Diagnósticos médicos

Programas de capacitación Contratos con proveedores Expedientes Clínicos

Promociones

Guía de servicios

Precios de servicios


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

65 de 123




La información privada o confidencial, así como la información restringida, deberá ser establecida, elegida y especificada por cada director y comunicada a los jefes y gerentes para ser divulgada e implementada en los operativos de cada área. La elección y especificación de cual información es confidencial, privada y restringida, está relacionada directamente a las políticas del hospital, sus procedimientos y acorde a las leyes, lineamientos y recomendaciones vigentes respectivas. A continuación se mencionan diversas informaciones que deben ser consideradas como confidenciales, privadas o restringidas: SEGURIDAD DE LA INFORMACIÓN. Clasificación

(nivel de seguridad)

Características

Autorización específica

Forma de entrega al usuario

Tiempo de retención

Acceso a la información

Forma de destrucción

Pública Disponible para quien la solicita (mediante los

canales autorizados)

Sin autorización Sin necesidad de firma de

recibido

No aplica Todo Público Basura municipal

Restringida

Es la que se utiliza para que el

personal realice su trabajo (es

información que genera, obtiene o la comunica a sus

superiores), el conocimiento por terceros puede

dañar al trabajador o a pacientes. Se conoce también

como DATO PERSONAL

SENSIBLE y es aquella

información que afecte a la esfera más íntima de su

titular, o cuya indebida

utilización pueda dar origen a

discriminación o conlleve un riesgo grave para éste.

Por la Dirección

General y las Leyes,

lineamientos o recomendaciones

vigentes

Requiere firma de recibido, y

que sea comunicación

oportuna, eficiente y efectiva, mediante

canales seguros. Bajo el

consentimiento o aviso de

privacidad.

Depende de la información y es acorde a la

legislación vigente.

-2 años para datos

administrativos -5 años para

datos contables corrientes a partir de la

última declaración. -5 años para

información de expediente clínico. -10 años datos

declaratorios. 10 años para material de banco de

sangre por contener

hemoderivados.

Poder judicial y Dirección

General. Bajo el

consentimiento o aviso de privacidad.

Departamento de datos

personales.

Basura municipal,

previo destrucción

que elimina el contenido, en

casos específicos se elabora acta

de destrucción.

De acuerdo a solicitud del

paciente.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

66 de 123




Confidencial No está disponible para cualquiera

que la solicita. Se maneja por

canales seguros, va dirigida a

personas específicas, el

conocimiento de ésta información por terceros daña al Hospital San

Ángel Inn Universidad.

Por políticas institucionales, la dirección general

y las Leyes, lineamientos o

recomendaciones vigentes

Requiere firma de recibido, y

que sea comunicación

oportuna, eficiente y

efectiva, además de usar canales

seguros

Depende de la información y es acorde a la

legislación vigente también Depende de las

políticas del Hospital.

-2 años para datos

administrativos -5 años para

datos contables corrientes a partir de la

última declaración. -5 años para

información de expediente

clínico. -10 años datos declaratorios. -10 años para

material de banco de

sangre por contener

hemoderivados.

Poder judicial, Dirección de

área, Dirección General.

Basura municipal,

previo destrucción

que elimina el contenido, en

casos específicos se elabora acta

de destrucción o resguardo indefinido

Destrucción de información restringida y confidencial La destrucción busca que no sea posible recuperar los soportes que contienen datos con información confidencial y garantiza, en todo momento del proceso, el no acceso a esos datos por personas no autorizadas. Es irreversible: garantiza que no existen riesgos probables de que se recupere la información. Es segura y confidencial: los documentos se tratan con la misma seguridad con que se han mantenido durante su existencia. Los soportes no pueden ser reciclados. Se debe de documentar todas las destrucciones, para garantizar que cumple con la reglamentación vigente y que la persona encargada de la destrucción y la empresa quedan protegidas en caso de investigación o consulta. Se necesitara la siguiente documentación:


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

67 de 123




Lista o resumen del tipo y cantidad de los documentos destruidos.

Prueba de la destrucción (por ejemplo, certificado) en el que conste: el método de la destrucción, la fecha de la destrucción y el personal que ha intervenido en ella.

Que medios contienen información confidencial.

Los documentos en papel.

Los soportes electrónicos, magnéticos u ópticos. Proceso de destrucción. A través de diferentes procesos, mecánicos o químicos, que hagan irreconocible e irrecuperable los datos impresos o grabados en los soportes: triturado, conversión en pulpa, borrado masivo, corte, aplastamiento, reciclaje químico, etc. Clases de material de carácter confidencial

Descripción

Papel, planos, documentos y dibujos

Ordenadores incluidos discos duros, programas

preinstalados, tarjetas lectoras de chip, componentes y otros

soportes físicos

CD y DVD

Información en soporte papel: 1. Existencia de máquinas trituradoras. 2. Comprobación del nivel de triturado aplicado según la confidencialidad del documento. Los documentos pueden ser clasificados con un nivel de seguridad según su nivel de confidencialidad. A mayor nivel de seguridad más pequeño debe de ser el tamaño de las tiras o las partículas. Si tenemos grandes volúmenes de residuos, como es el caso por ejemplo de destructoras de alta capacidad, es posible lograr un nivel de seguridad superior, tomando medidas adicionales como mezclar o compactar las tiras o partículas. 3. Importancia de la concienciación de usuarios: obligaciones y responsabilidades que tienen en relación al procedimiento. Información en soporte digital:


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

68 de 123




El reciclado de ordenadores viejos Es cada día más frecuente que en lugar de tirar los ordenadores viejos a la basura se intente hacer un reciclado de los mismos colocando los equipos en otras áreas. Los datos grabados en el disco duro deben eliminarse de forma absolutamente segura, de lo contrario, se dejan las puertas abiertas a la piratería informática o a los accesos no autorizados de información. Los soportes de datos siempre deben ser destruidos, es el único método probado efectivo al 100%

TIPO DE DESTRUCCIÓN DE LA INFORMACIÓN

Destrucción definitiva Reutilización del medio

Rayando un CD/DVD Formateo de bajo nivel

Uso de martillo para romper unidad usb

Reescribiendo los sectores

Desarmar disco duro, rayar la unidad de grabado

Cifrar los datos


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

69 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

70 de 123




NIVEL DE SEGURIDAD Y CONFIDENCIALIDAD Seguridad-.Proceso consistente en mantener un nivel aceptable de riesgo percibido. La seguridad de la información dentro del Hospital san Ángel Inn Universidad recae en la identificación de las vulnerabilidades que la información puede llegar a tener desde su creación, manejo, canales de difusión, almacenamiento, transportación, acceso, esto con el fin de que las amenazas del entorno no exploten estas vulnerabilidades. Objetivos de la seguridad dentro del hospital:

Confidencialidad-. Se trata de una propiedad de la información que pretende garantizar el acceso sólo a las personas autorizadas. Cuando se produce información confidencial, los responsables de la información deciden quién o quiénes tienen derecho a acceder a la misma.

seguridad

Garantizar la confidencialidad

Integridad

disponibilidad

Autenticación

Autorización

Auditoria

http://definicion.de/informacion/


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

71 de 123




Integridad-. La información solo puede ser modificada por las personas autorizadas. Llevando un control de modificación.

Disponibilidad-. Las personas que tienen acceso a esta información puedan tener acceso siempre.

Autenticación y autorización-. Mecanismo que garantice mediante una contraseña o un escrito que la persona tiene derechos de visualización, modificación o eliminación de información.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

72 de 123




Auditoria-. Proceso que nos ayude a identificar que ocurrió en algún momento en concreto.

SEGURIDAD FISICA Y AMBIENTAL. Seguridad física-. Con la finalidad de impedir el acceso no autorizado a las instalaciones de la organización.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

73 de 123




Uso de cámaras de vigilancia/personal de seguridad /registro de acceso El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. A cualquier personal ajeno a la planta se le solicitará completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc.

Uso de gafetes El uso de credenciales de identificación es uno de los puntos más importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa.

Seguridad ambiental

registro de acceso

uso de gafetes

uso de camaras

personal de

seguridad


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

74 de 123




Seguridad en los equipos: A fin de impedir la pérdida, daño o robo de la información.

17. POLÍTICAS DE ACCESO A SITE OBJETIVO Definir las directrices para el control de acceso de empleados y externos al SITE, TRS y almacenes de TI. ALCANCE. El presente documento es aplicable al control de acceso al SITE, TRS de planta baja, pisos del 1 al 10, almacenes del piso 8,9 y 10. Tanto para empleados como personal externo. RESPONSABILIDAD DE TI

Es responsabilidad del personal de TI mantener ordenado el cableado tanto de redes como eléctrico.

Seguridad en equipos

Mantenimientos preventivos/

correctivos

Respaldos de información

Uso de contraseñas

seguras


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

75 de 123




El site y los TRS deben de permaneces limpios y libres de objetos que obstaculicen las actividades dentro de ellos.

El SITE y los TRS permanecerán bajo llave en todo momento.

EL SITE y los TRS no pueden ser utilizados como bodegas y contener materiales inflamable o peligroso.

Los equipos de cómputo y comunicación que se encuentran dentro del site y TRS deben contar con protección eléctrica que garantice su funcionalidad en picos de voltaje y/o fallas de energía eléctrica.

La iluminación dentro del SITE y TRS debe de ser adecuada para poder visualizar y distinguir los equipos y cableados.

Las llaves de acceso al SITE y TRS estarán bajo resguardo en las oficinas del TI.

Debe de existir dos juegos de llaves del SITE y de los TRS almacenadas en lugares distintos. El juego de llaves principal y el de respaldo.

El acceso al SITE y TRS por personas externas tiene que ser autorizada y supervisada por personal de TI. Se tiene que realizar el registro indicando nombre, procedencia, fecha, hora y el motivo de la visita en la bitácora de visitantes.

No se puede ingresar con alimentos o con cualquier tipo de bebida.

Al finalizar cualquier trabajo en el SITE, TRS o almacenes, deberá asegurarse que los cables estén bien instalados y ordenados, dentro de sus gabinetes, los equipos funcionando y acomodados de forma correcta.

Es responsabilidad del personal de TI remover desechos y cajas vacías antes de salir del SITE, TRS y almacenes.

CONDICIONES DE ACCESO AL SITE. El área de TI se reserva el derecho de admisión al SITE, de su personal, clientes, subcontratistas y visitantes. Está prohibida la entrada de personas bajo las siguientes condiciones:

Portando armas de fuego, cuchillos o similares.

Bajo estado de embriaguez o consumiendo bebidas alcohólicas.

Bajo el efecto de cualquier droga o sustancia alucinógena.

Portando cámaras fotográficas y filmadoras.

Con vestimenta inapropiada (pantalones cortos, camisas sin mangas, chancletas).

Fumando.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

76 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

77 de 123




18. MANTENIMIENTOS PREVENTIVOS/CORRECTIVOS

El mantenimiento preventivo es el destinado a la conservación de equipos o

instalaciones mediante realización de revisión y reparación que garanticen su buen

funcionamiento y fiabilidad. El mantenimiento preventivo se realiza en equipos en

condiciones de funcionamiento, por oposición al mantenimiento correctivo que repara o

pone en condiciones de funcionamiento aquellos que dejaron de funcionar o están

dañados.

El primer objetivo del mantenimiento es evitar o mitigar las consecuencias de los fallos del

equipo, logrando prevenir las incidencias antes de que estas ocurran. Las tareas de

mantenimiento preventivo pueden incluir acciones como cambio de piezas desgastadas,

cambios de aceites y lubricantes, etc. El mantenimiento preventivo debe evitar los fallos

en el equipo antes de que estos ocurran. VER PLAN DE MANTENIMIENTO DE

EQUIPOS DEL ÁREA DE TI

https://es.wikipedia.org/wiki/Mantenimiento_correctivo


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

78 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

79 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

80 de 123




Uso de contraseñas Una contraseña (password) en internet, o en cualquier sistema computacional, sirve para autentificar el usuario, o sea, es utilizada en un proceso de verificación de la identidad del usuario, asegurando que este es realmente quien dice ser. Todos los equipos dentro del hospital tienen contraseñas personalizadas.

Respaldos de información El respaldo de información es la copia de los datos importantes de un dispositivo primario en uno ó varios dispositivos secundarios, ello para que en caso de que el primer dispositivo sufra una avería electromecánica ó un error en su estructura lógica, sea posible contar con la mayor parte de la información necesaria para continuar con las actividades rutinarias y evitar pérdida generalizada de datos.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

81 de 123




Niveles de confidencialidad Nivel Básico Nivel medio Nivel Alto

RESPONSABLE DE SEGURIDAD

El responsable de seguridad es el encargado de coordinar y controlar las medidas del documento.

El responsable de seguridad es el encargado de la creación del documento así como el área de TI mediante candados en los equipos de almacenamiento y respaldos.

CONTROL DE ACCESO Relación actualizada de usuarios y accesos autorizados. Control de accesos permitidos a cada usuario según las funciones asignadas. Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. Concesión de permisos de acceso sólo por personal autorizado. Mismas condiciones para personal ajeno con acceso a los recursos de datos.

Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.

Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o denegado. No es necesario este registro si el responsable del fichero es una persona física y es el único usuario. Control de accesos autorizados. Identificación accesos para documentos accesibles por múltiples usuarios

IDENTIFICACIÓN Y AUTENTICACIÓN

Procedimiento de asignación y distribución de contraseñas

Procedimiento de asignación y distribución de contraseñas, encriptación de información.

GESTIÓN DE SOPORTES Identificación del tipo de información que contienen, o sistema de etiquetado. Acceso restringido al lugar de almacenamiento.

Cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).

COPIAS DE RESPALDO Copia de respaldo semanal. Procedimientos de generación de copias de respaldo y recuperación de datos. Verificación

Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

82 de 123




semestral de los procedimientos. Reconstrucción de los datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Pruebas con datos reales. Copia de seguridad y aplicación del nivel de seguridad correspondiente.

los equipos.

ALMACENAMIENTO Disco duros con cifrado de información

COPIA O REPRODUCCIÓN

Sólo puede realizarse por los usuarios autorizados. Destrucción de copias desechadas

TELECOMUNICACIONES El responsable de la información debe de garantizar que la información es enviada vía correo a las personas correspondientes, no se permite el uso de memorias portátiles.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

83 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

84 de 123




Responsabilidades. POLÍTICA DE INTERCAMBIO DE INFORMACIÓN Normas dirigidas a: TI TI asegurará la protección de la información en el momento de ser transferida o intercambiada con otras áreas y establecerá los procedimientos y controles necesarios para el intercambio de información; así mismo, se establecerán acuerdos de Confidencialidad y/o de Intercambio de Información con las terceras partes con quienes se realice dicho intercambio. El área de ti debe garantizar todas las medias necesarias para proteger la información, tales medidas como:

Manejo de antivirus.

Respaldos de información de los equipos pc, portátiles y sesiones virtuales.

Bloqueos de seguridad.

Monitoreo de equipos de cómputo.

Garantizar el funcionamiento de candados de seguridad.

Bloquear el uso de quemadores.

Garantizar el escaneo de memorias por parte del antivirus.

Cifrar todas las unidades usb que el personal requiera usar.

Cifrar los discos duros de los equipos pc y portátiles.

Atender los avisos de actualizaciones de los sistemas operativos.

Garantizar el bloqueo de equipos telefónicos que no tienen permitido realizar llamadas al exterior.

Garantizar el bloqueo de correos externos como Gmail, Hotmail, etc.

Normas dirigidas a: Usuarios en general

Debe autorizar o rechazar el intercambio de información de su responsabilidad.

Debe de cumplir con lo establecido en esta política.

Los usuarios con acceso a información electrónica deben de firmar un acuerdo de confidencialidad donde se comprometen a no divulgar la información entregada por el hospital.

Toda información enviada bajo correo electrónico queda bajo responsabilidad del emisor y receptor.

La información enviada vía correo debe ser encriptada para proteger el contenido de la información.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

85 de 123




Los usuarios que requieran acceso vía VPN a la información del hospital deberán firmar el formato de acuerdo de la confidencialidad de la información. Quedando como hincapié que una vez que el usuario tenga acceso a la información este es responsable de su uso.

No está permitido las conexiones tipo TeamViewer. Este tipo de acceso requiere autorización previa. Las conexiones de este tipo no pueden durar más de un 1 días. Pasado este tiempo el personal que autoriza el acceso al equipo debe cambiar la contraseña de acceso.

No dejar información crítica o sensible en las instalaciones de impresión, como impresoras, copiadoras y faxes, ya que estas pueden ser acezadas por personal no autorizado.

No está permitido el reenvío automático de correos electrónicos a una dirección de correo externa.

Las memorias USB podrán ser utilizadas siempre y cuando su capacidad este protegida por bitlocker.

Es responsabilidad de cada área el identificar el tipo de información que maneja y el trato que requiere por parta del área de TI.

El personal que tenga asignado algún equipo de cómputo tiene que bloquear el equipo cuando no se encuentre frente a este.

El personal que requiera acceso a otro equipo de cómputo que no sea el que se le asigno o de otra área deberá firmar el formato correspondiente.

El personal que requiera acceso a los respaldos resguardados por TI deberá llenar el formato de acceso a la información.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

86 de 123




19. POLÍTICAS DE RESPALDOS

PROPÓSITO El presente documento tiene como objetivo dar a conocer las políticas de Seguridad que deberán observar los usuarios de servicios de tecnologías de información, para proteger adecuadamente los activos e información del Hospital. Proporcionando los medios de respaldo adecuados para asegurar que toda la información esencial y el software, se pueda recuperar después de una falla. La Seguridad Informática, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades en materia de seguridad. Para Mantener la Integridad y confiabilidad de la información: Se cuenta con licenciamiento de Antivirus y equipos para el bloqueo de intrusos y tráfico, licencias de sistemas operativos. RESPALDO DE INFORMACIÓN Asegurar que la información generada por las diferentes áreas administrativas y clínicas que cuenten con equipos pc o laptop y/o se conecten mediante una terminal wyse al servidor de archivos, no se pierda y esté disponible en caso de desastre, o cualquier contingencia, como daño en los discos duros, o eliminación accidental de la Información o bien un caso de desastre físico. NORMAS DE OPERACIÓN


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

87 de 123




El respaldo de información se efectuará en un disco duro en red de capacidad de 4 TB.

Los respaldos del servidor de archivos se realizaran mensualmente los últimos días del mes. Servidor 10.40.6.23.

• Los Respaldos de los servidores se realizan en el site, los cuales se realizan por mes. En el caso de que no se puedan hacer los respaldos por algún problema con el Servidor (Virus o falla) se procede a realizarlos al día siguiente.

PLAN DE RECUPERACION. Es importante definir los procedimientos y planes de acción para el caso de una posible falla, o desastre en el área de TI Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. Las actividades a realizar en un Plan de Recuperación se pueden clasificar en Tres etapas: • Actividades Previas a la falla o desastre. • Actividades Durante la falla o Desastre. • Actividades Después de la falla o Desastre. Actividades Previas a las Fallas o Desastre Son todas las actividades d planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de los activos de la información, que nos aseguren un proceso de Recuperación con el menor costo posible. Se debe de establecer los procedimientos relativos a:

Equipos de Computo

Obtención y almacenamiento de los Respaldos de Información.

Políticas (Normas y Procedimientos de respaldos). Equipos de Cómputo.

Es necesario realizar un inventario actualizado de los equipos (equipo entregado al usuario) especificando su contenido (software y licencias que usa).

Obtención y almacenamiento de los Respaldos de Información. Se deberán establecer los procedimientos para la obtención de copias de Seguridad de todos


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

88 de 123




los elementos de software necesarios para asegurar la correcta ejecución del Software y/o Sistemas operativos.

Para lo cual se debe contar con:

Respaldos del Sistema Operativos.

Respaldos del Software Base (SAP, VHS, PAQUETERIA).

Respaldos de lista de correos con su respetiva contraseña.

Respaldo de archivos del servidor 10.40.6.23

Respaldos de equipos pc y portátiles. Se debe establecer los procedimientos, normas, y determinación de responsabilidades, debiéndose incluir:

Periodicidad de cada Tipo de respaldo.

Almacenamiento de los respaldos en condiciones ambientales óptimas, dependiendo del medio magnético empleado.

Reemplazo de los respaldos, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar (reciclaje).

Pruebas periódicas de los respaldos (Restore), verificando su funcionalidad. Políticas de Procedimiento:

Todas las carpetas de los servidores deberán respaldarse periódicamente.

Todos los respaldos deberán conservarse conformé lo acordado con las áreas usuarias correspondientes.

Los respaldos se harán de acuerdo al documento de políticas de manejo y control de respaldo.

Todos los equipos centrales, bases de datos y sistemas informáticos deberán contar con planes de contingencia.

La información de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento como CD, DVD, etc. Todas las copias de información crítica deben ser almacenadas en un área adecuada y con control de acceso.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

89 de 123




Las copias de respaldo se guardaran únicamente con el objetivo de restaurar el sistema luego de un virus informático, defectos en los discos de almacenamiento, problemas de los servidores o computadores, materialización de amenazas, catástrofes y por requerimiento legal. Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen información crítica; el dueño de la información debe asegurar que el plan es adecuado, frecuentemente actualizado y periódicamente probado y revisado. Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera de las instalaciones del hospital. Semanalmente el personal de TI, verificarán la correcta ejecución de los procesos de backup. El Área de TI debe mantener un inventario actualizado de las copias de respaldo de la información y los aplicativos o sistemas. Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro y posteriormente serán eliminados o destruidos de forma adecuada. La depuración de la información en correos y /o carpetas del disco es responsabilidad de los usuarios propietarios de dicha información. Los respaldos de información serán solicitados por el jefe del área correspondiente. No se puede solicitar información de otras áreas sin previa autorización. Responsabilidad Actividad Descripción

Usuarios Definir archivos a respaldar

Define acorde con TI, la periodicidad y la información que deberá respaldarse.

Jefe de TI

Plan de respaldos Creación de calendario anual de respaldos por área

divulgación Se divulga vía correo el calendario de respaldos.

Usuarios Acceso Se da acceso a personal de TI al equipo a respaldar.

Analista de Ti Realización Respalda la información.

verificación Verifica que el respaldo haya sido exitoso.

Usuarios/Analista de TI

Documentación Se firma documento que respalda la actividad


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

90 de 123




Responsabilidades generales del área de TI Será responsabilidad del Departamento de Tecnología de la Información la realización periódica de los respaldos de la información de cada uno de los usuarios del hospital. Esta actividad se tiene que programar bajo un calendario de actividades. La información a respaldar de forma obligatorio es la siguiente:

Carpeta de MIS DOCUMENTOS, DESCARGAS, ESCRITORIO.

Accesos a unidades de red, favoritos.

Configuración de correos (archivos *.pst y *.nk2) Toda información que no se encuentre dentro de estas y no sea especificada por el usuario no será respalda por el área de TI. Archivos de música, imágenes, información personal, será borrada con el reporte correspondiente. La información respaldada será almacenada en un medio físico previamente identificada por departamentos y usuarios. El medio de almacenamiento destinado para el resguardo de los respaldos tiene que estar protegido contra problemas eléctricos y dentro del SITE de TI. Es responsabilidad del personal de TI vigilar el óptimo funcionamiento del medio utilizado para resguardar los respaldos de información.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

91 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

92 de 123




20. POLÍTICAS DE ACCESO AL SISTEMA: EXPEDIENTE CLINICO ELECTRÓNICO

Propósito.

Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña) de acceso al sistema de Expediente Clínico - VHS.

Alcance.

El alcance de estas políticas incluye a todo usuario del sistema que tenga una previa autorización por parte de Capital Humano (Doctores de staff) y /o autorización del personal de Atención a Médicos (doctores externos) así como los administradores del sistema.

Definición de expediente Clinico electrónico.

El expediente clínico electrónico, es una herramienta que contiene el conjunto de información ordenada y detallada que se recopila cronológicamente de todos los aspectos relativos a la salud de un paciente y su familia en un periodo determinado de su vida; representa una base de conocimientos que nos ayuda a conocer las condiciones de salud, los actos médicos y los diferentes procedimientos ejecutados por el equipo médico a lo largo de un proceso asistencial.

Contiene una relación de información sobre la salud de una persona, la cual puede ser gestionada consultada, compartida por el personal autorizado dentro del hospital.

El expediente Clínico electrónico tiene los siguientes puntos trascendentales:

1) Atención y seguimiento: El que conduce al médico a la apertura de un Expediente Clínico y continuarlo a lo largo del tiempo, es el requerimiento de una prestación de servicios y por lo tanto, se convierte en el instrumento básico de la buena atención médica, porque sin él, es imposible que el médico pueda tener, con el paso del tiempo una visión completa y global del paciente para prestar el servicio requerido.

2) Evaluación de la calidad asistencial: El Expediente Clínico es el documento en donde se puede evaluar la actuación del médico, personal paramédico y permite establecer el nivel de calidad prestada.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

93 de 123




4) Administrativa: Los expedientes clínicos son el elemento fundamental para el control y gestión de los servicios médicos de las instituciones de salud.

5) Desde el contexto médico–legal: El Expediente Clínico se encuentra regido por diversas normas jurídicas y su inadecuado manejo puede reflejar:

A. Mal praxis clínico- asistencial, por incumplimiento de la normativa legal.

B. Defecto de gestión de los servicios clínicos.

C. Riesgo de potencial responsabilidad por perjuicios al paciente o a la institución.

D. Riesgo médico legal objetivo, por carencia del elemento de prueba fundamental en reclamaciones por mal praxis médica.

E. Bases Jurídicas Médico-legal: Existe obligación legal de efectuar por normativas vigentes: Constitución Política de los Estados Unidos Mexicanos, Ley General de Salud, Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, Reglamento de la Ley General de Salud en Materia de Prestación de Servicios de Atención Médica, Norma Oficial Mexicana NOM-004-SSA3-2012 del Expediente Clínico y Derechos de los Pacientes. Además de ser elemento de prueba en los casos de responsabilidad médica profesional, tiene un extraordinario valor jurídico, al convertirse por orden judicial en prueba material, constituye un documento médico-legal fundamental de primer orden. En tales circunstancias los expedientes clínicos son, el elemento que permite dar testimonio documental de ratificación y veracidad de declaraciones sobre actos clínicos y conducta profesional.

F. Es un Instrumento de dictamen pericial: elemento clave en la elaboración de informes médico-legales, certificaciones de nacimiento o de defunción, etc.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

94 de 123




CARACTERÍSTICAS DEL EXPEDIENTE CLÍNICO

El Expediente Clínico es propiedad de la Institución. Por su esencia el Expediente Clínico debe ser: 1. Confidencial Todos los datos de un paciente son considerados confidenciales, por lo tanto, se rigen por normas específicas, para el acceso a ellos. 2. Seguro Sólo el personal en Salud autorizado, tendrá acceso al Expediente Clínico. 3. Disponible Debe preservarse la confidencialidad de los datos del expediente, éste debe ser un documento disponible en el momento en que se requiera por el personal autorizado, de acuerdo a las normas Institucionales. 4. Intransferible El Expediente Clínico debe ser único para cada paciente, debido a la importancia de dar seguimiento en el proceso salud–enfermedad, por lo tanto, éste debe contener los datos necesarios, para identificar claramente al paciente. 5. Legible Las anotaciones en el Expediente Clínico tienen que ser con letra legible y clara, evitando abreviaturas y símbolos.

Veraz El Expediente Clínico debe caracterizarse por ser un documento veraz y fidedigno porque, en él se concentra la atención que se otorgó al paciente. 7. Exactitud El Expediente Clínico debe ser preciso y claro, ya que contiene información relacionada con el paciente. 8. Con Rigor Técnico Los datos contenidos deben ser realizados con criterios objetivos y científicos, debiendo ser respetuosos para el propio enfermo, otros profesionales o bien para la Institución. 9. Completo Debe contener datos necesarios sobre la patología del paciente, reflejar todas las fases médico–legales que comprenden todo acto clínico-asistencial. Así mismo, debe contener todos los documentos integrantes del Expediente Clínico de acuerdo a la Norma Oficial Mexicana NOM-004-SSA3-2012, Del Expediente Clínico. 10. Identidad de sus usuarios Todo facultativo o personal de salud que intervenga en la asistencia del paciente y en el manejo médico, debe anotar su participación con nombre completo, firma autógrafa y Cédula Profesional.

Información que integra el expediente electrónico.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

95 de 123




Principales componentes del expediente electrónico.

Servidor de aplicación: Equipo que almacena la información y soporta la operación de la aplicación. Servidor virtual. Los usuarios no tienen acceso a este equipo.

Base de datos-. Guarda en forma digital y segura toda la información con la cual interactúa el sistema, como son los datos del paciente, sus consultas y su seguimiento, historia clínica, estudios, etc. Debe contar con un plan de respaldo y manejo de contingencias para asegurar la continuidad del servicio e integridad de la información. También debe contar con políticas de control de acceso y mecanismos de seguridad informática que garanticen la confidencialidad de la información. Acceso restringido.

Interface de usuario: Sistema con el que interactúan médicos y enfermeras.

Hardware: Equipo de cómputo: computadoras de escritorio y/o wyse desde donde se ingresa al VHS.

Periféricos: Se cuenta con impresoras en las centrales para la impresión de formatos y documentos.

Conectividad: Las estaciones de trabajo se comunican por medio de redes de datos (LAN) .

VHS

Tratamientos

Notas quirurgicas

notas ambulatorias

examenes de laboratorio

interconsultas

notas hospitalarias


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

96 de 123




Esquema del expediente electrónico.

Ventajas del expediente electrónico.

Política general.

Alta de usuarios en el expediente electrónico.

VHS

uniforme, legible y facil de consultar

la información ocupa poco

espcia ya que se consentra

en un servidor

alta accesibilidad a la informacón

actualización rapida y facil

siempre en linea

toda la informción en su solo lugar

información confidencial

calidad en la prestación del

servicio

incremento en la seguridad del paciente


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

97 de 123




Responsabilidades de capital humano y/o atención a médicos.

Es responsabilidad del personal de atención a médicos y capital humano la mínima verificación de los datos y la documentación que acredite al médico a dar de alta.

El acceso al expediente electrónico se denotará por parte de Capital Humano y/o Atención a Médicos, mediante una llamada telefónica y sustentada siempre por un correo electrónico, Donde se indicara:

El nombre completo, cedulas, especialidades, el tipo de acceso al sistema (acceso definitivo o temporal), así como el nombre completo y área del solicitante; si falta alguno de estos datos no se procederá a ejecutar el alta del usuario. El solicitante siempre tendrá que mostrar alguna identificación que acredite su nombre, cedula y profesión.

El personal de capital humano y atención a clientes ayudaran en el proceso de alta, bajas en un horario de lunes a viernes de 9 a 18 horas y sábados de 9 a 13 horas, quedando bajo su responsabilidad la asignación de personal de su área para la atención en horas que no son de oficina.

Responsabilidades del usuario final.

El usuario del VHS al finalizar el proceso de alta está obligado a firmar el formato de confidencialidad del expediente electrónico. El cual a grandes rasgos indica:

La clave es personal e intransferible. (El usuario y clave no pueden ser usadas por terceras personas, ya que al tratarse de un documento legal, el mal uso, la divulgación de información recae en la persona firmante de este documento). El mal manejo del usuario asignado será reportado inmediatamente a la dirección general del Hospital San Ángel Inn Universidad S.A de C.V. De acuerdo a la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES, el usuario no puede divulgar por ningún medio dato personal sensible a personas ajenas. Artículo 3, fracción VI Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical,


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

98 de 123




opiniones políticas, preferencia sexual. Artículo 9.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado. Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando: I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o VII. Se dicte resolución de autoridad competente. Artículo 13.- El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable. De acuerdo a LA CONSTITUCIÓN POLÍTICA DE LOS ESTADOS UNIDOS MEXICANOS Artículo 6, párrafo II La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. Artículo 16, párrafo II Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

99 de 123




Para el cambio y/o recordatorio de contraseñas es obligatorio el mostrar alguna identificación como medida de seguridad por parte del usuario al VHS y de esta forma verificar que la persona tiene permisos sobre la cuenta así como el llenado de formato de solicitud de cambio de contraseña.

El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible. El mal uso por parte de terceras personas es responsabilidad de la persona acreditada para el uso de dicha cuenta. Al ser detectado el mal uso por el propio usuario, responsable de área el caso se turnara a la dirección general.

La cuenta de usuario se protegerá mediante una contraseña proporcionada por el usuario final. La contraseña asociada a la cuenta de usuario, deberá seguir los criterios para la Construcción de Contraseñas Seguras descrito más abajo.

Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como se dieron de alta.

No compartir la cuenta de usuario con otras personas: compañeros de trabajo, etc.

Si se detecta o sospecha que las actividades de una cuenta de usuario pueden comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración de atención a médicos o capital humano.

Responsabilidades de TI.

Es responsabilidad del personal de TI el acceso al Expediente Electrónico en todos los equipos del hospital que estén delineados para este uso. Centrales de enfermería, terapias, descanso de médicos, recuperación, quirófanos.

Es responsabilidad de personal e TI garantizar el no acceso al expediente electrónico desde internet o redes ajenas al hospital.

El Personal de TI realizara los procesos de altas, bajas, cambios de claves de lunes a viernes de 7:00 a 21:30 horas y de sábados a domingos de 7:00 a 15: 00 horas. Fuera de estos horarios se fijara una guardia no presencial que dará acceso temporal de 2 días. Esto vía remota. Para lo cual se necesita comunicación con el usuario que requiere el acceso vía telefónica.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

100 de 123




Si el personal de TI detecta que los datos de la identificación no coinciden con los proporcionados por capital humano y/o atención a médicos se solicitara la asistencia en sitio de estas dos instancias para determinar el acceso al sistema. En caso de no contar con la asistencia de estas dos áreas se dará acceso temporal basado en la identificación proporcionada.

Es obligación del personal de TI indicar mediante un correo electrónico el estatus final del alta o el motivo de la no realización de esta. Si el alta es exitosa se mandara una pantalla (imagen) indicando todos los datos con los que se da acceso al usuario. Al finalizar el proceso de alta este correo será impreso por TI y firmado por la persona que solicita el alta.

Se integrara un expediente de la siguiente forma:

Impresión del correo firmada por parte de capital humano y/o atención a médicos donde solicitan alta o baja del usuario, formato de alta o cambio de contraseña, todo esto engrapado.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

101 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

102 de 123




Baja de usuarios en el expediente electrónico.

Responsabilidades de capital humano y/o atención a médicos.

La baja al expediente electrónico se denotará por parte de Capital Humano y/o Atención a Médicos, mediante una llamada telefónica y sustentada siempre por un correo electrónico, Donde se indicara:

El nombre completo, cedulas, especialidades, si se trata de una baja temporal o definitiva, así como el nombre completo y área de quien lo solicita; si falta alguno de estos datos no se procederá a ejecutar la baja del usuario.

Es responsabilidad de capital humano y atención a cliente indicar al usuario el motivo de la baja.

Responsabilidades de TI.

Al finalizar el proceso de baja personal de TI imprimirá el correo donde se solicita la baja la cual será firmada por el área que la solicita, con nombre y firma.

Se integrara un expediente de la siguiente forma:

Impresión del correo firmada por parte de capital humano y/o atención a médicos donde solicitan alta o baja del usuario, formato de alta o cambio de contraseña, todo esto engrapado.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

103 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

104 de 123




Tipos de Cuentas de Usuario

Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:

1. Cuenta de Usuario de Sistema: Todas aquellas cuentas que sean utilizadas por los usuarios para acceder al sistema. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por un formato de confidencialidad.

2. Cuenta de Administrador: corresponde a la cuenta de usuario que permite al administrador del sistema realizar tareas específicas de usuario a nivel administración, por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema. Los miembros de TI deben firma el formato e confidencialidad.

Creación de contraseñas seguras.

1. Todas las contraseñas para acceso al sistema con carácter administrativo deberán ser cambiadas al menos cada 6 meses.

2. El uso de contraseñas de carácter administrativo son exclusivas del personal de TI.

3. Para el cambio de contraseña, el usuario tiene que presentar alguna identificación que acredite ser el responsable de dicha cuenta.

4. Todas las contraseñas deberán ser tratadas con carácter confidencial. 5. Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios

de mensajería electrónica instantánea ni vía telefónica. 6. Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente

de otros. 7. Se evitará el revelar contraseñas en cuestionarios, reportes o formas. 8. No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas,

etc. En los servicios. No se almacenarán las contraseñas por parte de TI, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc).

9. Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.

Criterios en la construcción de contraseñas seguras

Una contraseña segura deberá cumplir con las siguientes características:

La longitud debe ser al menos de 6 y máximo 12 caracteres.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

105 de 123




Contener caracteres tanto en mayúsculas como en minúsculas. Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +, etc. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc. No debe ser basada en información personal, nombres de familia, etc. Procurar construir contraseñas que sean fáciles de deducir. Algunos ejemplos de contraseñas NO seguras por si solas:

o Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc

o Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.

o Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.

o Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.

21. POLITICAS DE CONTRASEÑAS SEGURAS

Para gestionar correctamente la seguridad de las contraseñas del Hospital San Ángel Inn Universidad se recomienda a los usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de contraseñas seguras:

Una contraseña segura deberá cumplir con las siguientes características:

La longitud debe ser al menos de 6 y máximo 12 caracteres. Contener caracteres tanto en mayúsculas como en minúsculas. Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +, etc. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc. No debe ser basada en información personal, nombres de familia, etc. Procurar construir contraseñas que sean fáciles de deducir. Algunos ejemplos de contraseñas NO seguras por si solas:

o Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc

o Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.

o Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.

o Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.

GENERALIDADES


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

106 de 123




Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios.

No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento.

Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”).

No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).

Hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.

No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.

No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos.

No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo.

No enviar nunca la contraseña por correo electrónico o chat.

Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso.

No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.

No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público.

Las contraseñas deben cambiarse cada 6 meses en los equipos pc/laptop


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

107 de 123





Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

108 de 123




22. FORMATOS USADOS POR EL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACIÓN

Tecnologías de la Información

Ciudad de México., a _____ del 2016

Solicitud equipo, software y/o accesorio

Por medio de la presente solicito el siguiente equipo / software / accesorio.

Nombre Completo

Área

Puesto

Número Empleado

Detalle del producto(s)

Justificación

Políticas

1. Dicho accesorio, equipo o software es propiedad de la compañía Centro Hospitalario Universidad S.A de C.V. quien proporcionó esta herramienta de trabajo para el desempeño del empleado arriba mencionado en las labores de acuerdo a su puesto en la compañía.

2. En caso de derramamiento de líquidos, daño físico, fallas por mal uso, el usuario de este accesorio, equipo o software se compromete a pagar la reparación o compra del mismo.

3. En caso de dejar de prestar mis servicios, es mi responsabilidad devolver a la empresa el

accesorio, equipo o software que me han sido entregados. Por otra parte, en caso de


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

109 de 123




rebasar los montos de consumo establecidos y no realizar una justificación de los mismos, la empresa podrá aplicar los descuentos correspondientes vía nómina.

Definición de Software Todo programa y/o sistema informático que se instala en los servidores principales del hospital y/o en la computadora personal del usuario final Definición de accesorios y equipo

ACCESORIOS EQUIPO

USB's PC

Cables Laptop

Mouse Proyectores

Teclados Impresoras

Pantalla Scanner Discos Duros

Externos Tableta

Control Remoto Switches

Lectores Externo No Break

Nombre y firma Jefe de área

Nombre y firma Director General

Nombre y firma del personal al que se le asignará el equipo

Recibe personal de Sistemas (Nombre y Firma)


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

110 de 123





Ciudad de México a _________

Solicitud de Cuenta de Correo

Por medio de la presente solicito sea creada la cuenta de correo para:

Nombre

Área

Puesto

Número Empleado

Tipo

Personalizada [email protected] Genérica [email protected]

Justificación

Políticas

1.1. Las cuentas de correos únicamente se configurarán en los equipos autorizados.

1.2. Solo se podrán configurar las cuentas de correo en PDA´s, Smartphone, tabletas o cualquier dispositivo inteligente a Directivos y Gerentes de Área, previa solicitud vía memorándum dirigida a la Dirección de Contraloría con el visto bueno de la Dirección a la que pertenezcan.

1.3. El estándar de la firma electrónica debe ser el mismo para todas las cuentas de correo electrónico y NO se agregará el título de la persona (Dr, Dra, Ing, Lic, CP. ).

1.4. Los usuarios deben de leer diariamente su correo y borrar aquellos mensajes obsoletos, para liberar espacio en su bandeja de entrada.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

111 de 123




1.5. Los usuarios deben redactar los correos electrónicos usando un lenguaje educado.

1.6. Está prohibido mandar o contestar cadenas de correo electrónico.

1.7. Está prohibido mandar o contestar correos electrónicos que sean mayores a 10MB.

1.8. El uso del correo electrónico proporcionado por Hospital San Ángel Inn Universidad es exclusivamente para enviar y recibir información de trabajo durante el horario de oficina. No se autoriza para uso personal.

1.9. Los correos son monitoreados confidencialmente sin previo aviso a solicitud por escrito del Director de área a la Dirección de Contraloría. Una vez autorizado se turnara al responsable de Sistemas.

1.10. En caso de mal uso del servicio de correo electrónico, éste se notificara a su jefe directo y se procederá al bloqueo de la cuenta para su investigación.

1.11. El área de Sistemas no garantiza la entrega de mensajes de correo a cuentas externas como Hotmail, Yahoo, Gmail, etc.

Solicita Vo.Bo

_____________________________ ______________________________

Nombre y firma del solicitante Nombre y firma del Director General

_____________________________ ______________________________

Nombre Completo y Firma TI Nombre Completo y Firma


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

112 de 123




Tecnologías de la Información Ciudad de México., a ________

Solicitud de Baja de Cuenta de Correo

Por medio de la presente solicito se de baja la cuenta de correo:

Cuenta

Equipo donde reside la cuenta

Persona que ocupaba la cuenta

Borrar información existente

No Si

Motivo

Me doy por enterado (a) que una vez que la cuenta se da de baja no se podrá volver a utilizar y en el caso de solicitar borrado de información esta no podrá ser recuperada.

Solicita Vo.Bo

_____________________________ ______________________________ Nombre y Firma Dirección General

_____________________________ ______________________________ Entrega Sistemas Recibe de Conformidad

Nombre Completo y Firma Nombre Completo y Firma


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

113 de 123




Tecnologías de la Información Ciudad de México., a ________

Solicitud de Acceso a la Red a equipos que no son propiedad del Hospital

(Teléfono celular, Laptop, tablet, etc)

Por medio de la presente solicito que el siguiente dispositivo le sea permitido el acceso a la red del hospital: red de invitados.

Nombre

Área

Puesto

Número Empleado

Equipo Propiedad de

Tipo de Equipo Teléfono Celular Tablet Laptop Otro: _______________________________

Requiere Internet: No Si

Justificación:

El acceso a internet queda restringido a las políticas definidas el documento “manual de políticas de TI”.

El perfil requerido para el acceso a internet será solicitado con el documento: “Universidad Perfil Internet.docx”

Solicita Vo.Bo

_____________________________ ______________________________ Nombre y firma Director General

_____________________________ _____________________________

Entrega Sistemas, nombre y firma Recibe de Conformidad


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

114 de 123





Ciudad de México., a ________

Solicitud de Clave de Usuario para SAP / VHS

* Número Empleado

* Nombre de Empleado * Área * Puesto * Turno SAP VHS ALTA BAJA

* CAMPOS OBLIGATORIOS, no se recibe formato sin requisitar completamente. __________________________________ __________________________________ ________________________ Nombre completo y Firma Nombre y firma del Director General Nombre y firma de contraloría


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

115 de 123



Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014 -0006


Ciudad de México, a _________

Carta de

Entrega de

equipo

Descripción del equipo

Marca

Modelo

Número de serie

Equipo Asignado a Préstamo o Permanente

Ubicación

Incluye

Accesorios

Maletín o Estuche

1. Dicho accesorio o equipo es propiedad de la compañía Hospital San Ángel Inn Universidad, quien proporcionó

esta herramienta de trabajo para el desempeño del empleado arriba mencionado en las labores de acuerdo a su

puesto en la compañía.

2. En caso de derramamiento de líquidos, daño físico, fallas por mal uso, el usuario de este equipo se compromete a

pagar la reparación o compra del mismo.

3-. Es responsabilidad del usuario final no introducir por ningún medio objeto como grapas, clips, etc. El usuario es

responsable del manejo de sus documentos libres de metales u otros objetos al introducirlos al equipo.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

116 de 123




Definición de accesorios y equipo

ACCESORIOS EQUIPO

USB’s

PC

Cables

Laptop Mous

e Proyectores

Teclado Impresora

Monitor

Scanner

Discos Duros Externos

Tableta

Control Remoto Switches

_____________________________ _____________________________ Entrega Sistemas, nombre y firma Recibe de Conformidad


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

117 de 123




Tecnologías de la Información-TI Fecha de solicitud: ___________.En la Ciudad de México.

FORMATO DE ACCESO AL SITE Datos de la perdona que solicita acceso al SITE, TRS en pisos

Personas externas Nombre completo:…………………………………………………………………. Procedencia:……………………………………………………………………………

Personas Internas Nombre completo:………………………………………………………… Área:…………………………………………………………………………….. Puesto:…………………………………………………………………………… Núm. de empleado:……………………………………………………

Solicita Acceso a Actividad a Realizar Entrada Salida Observaciones al finalizar (llenado por TI) Fecha Hora Fecha Hora

…………………………………………. …………………………………………

Nombre y Firma del visitante Nombre y firma de TI El llenado de este formato es de carácter obligatorio sin este es imposible dar acceso a las área de TI. Queda prohibido en todo momento ingresar con alimentos y bebidas.


Dirección General




F. Elaboración

01/04/2014

F. Aplicación

01/04/2016

Versión:

01

Ref:

SQE/ MCI

Página:

118 de 123




Tecnologías de la Información-TI FORMATO DE SOLICITUD DE INFORMACIÓN

Fecha de solicitud: ___________.En la Ciudad de México. DATOS DEL SOLICITANTE Nombre completo del solicitante………………………………………………………………………………………………………………………………………………………………………………………………..

Nombre A. Paterno A. Materno Puesto: ……………………………………………………… Numero de empleado: ………………………………. La información solicitada se encuentra en el equipo asignado al usuario y/o respaldo del mismo. SI ……….. NO …….. La persona que solicita acceso al equipo y/o respaldos pertenece a la misma área de la información solicitada. SI …….. NO ……. Datos solicitados (archivos, área) y/o nombre del equipo al que se quiere acceso ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..

Nombre y firma del jefe/director/responsable/dirección general que a acredita el acceso al equipo /información perteneciente al área.

___________________________ Nombre y firma

________________________ _______________________ Nombre y firma del solicitante Nombre y firma de personal de TI


Ciudad de México a ________________.

RESPONSIVA DE CLAVE USUARIO SAP

Por medio del presente entrego clave para uso del Sistema SAP, la cual es única, confidencial e intransferible, el uso inadecuado de la misma será de su absoluta responsabilidad y en caso de detectar anomalías deberá reportadas a las instancias correspondientes de inmediato. Es responsabilidad del usuario cambiar su clave trimestralmente o antes si así lo desea o haya detectado alguna anomalía. NOMBRE:

ÀREA:

PUESTO:

NUM. EMPLEADO:

USUARIO:

Autoriza Dirección de Área

Autoriza Entrega Dir. Contraloría

Recibe (Nombre y firma) Entrega (Nombre y firma)

M a n u a l d e P r o c e d i m i e n t o s

Dirección de Capital Humano




Inicio de Implantación

01/04/2014

F. Modificación

01/04/2016

Versión:

02

Ref:

MCI / GLD

Página:

120 de 123



Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ciudad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014-0006


ACUERDO DE CONFIDENCIALIDAD PARA EL INGRESO AL EXPEDIENTE ELECTRONICO

Este acuerdo de confidencialidad entre en vigencia y se celebra el día ___________.en la Ciudad de México. Entre_________________________________________________ y el Hospital San Ángel Inn Universidad S.A de C.V.

Confidencialidad

El firmante reconoce que durante la relación laborar con Hospital San Ángel Inn Universidad S.A de C.V. recibirá valiosa información confidencial mediante el acceso a la herramienta denomina Expediente Electrónico. El firmante acuerda tratar dicha información en forma confidencial y tomar todas las precauciones posibles para evitar la divulgación de dicha información a terceros durante el término de este acuerdo y con posterioridad al mismo.

Acceso al Expediente Electrónico Identificación presentada:………………………………………………… Cedula:…………………………………………………… Acceso indefinido: Acceso temporal: motivo: ……………………………….. Desde este momento se asignara una clave con la que podrá ingresas al sistema, la cual tiene las siguientes características. La clave es personalizada. (El usuario ingresa la clave). La clave es personal e intransferible. (El usuario y clave no pueden ser usadas por terceras personas, ya que al tratarse de un documento legal, el mal uso, la divulgación de información recae en la persona firmante de este documento). Quedando sin responsabilidad alguna el personal de TI, atención a médicos y capital humano. El mal manejo del usuario asignado será reportado inmediatamente a la dirección general del Hospital San Ángel Inn Universidad S.A de C.V. El usuario firmante queda obligado a no divulgar por ningún medio electrónico, escrito, hablado información confidencial del expediente electrónico a terceras personas o instituciones ajenas. Está prohibido el uso de celulares, cámaras fotográficas para replicar las imágenes del expediente que se muestran en las pantallas de los equipos pc. Queda prohibido el duplicado en papel del expediente, por tal motivo no existen multifuncionales en las centrales de enfermería. Las reimpresiones se realizan en archivo Clinico. Queda prohibido el uso de usb en las centrales de enfermería. Queda prohíbo el acceso a las carpetas de configuración del expediente, la detección del acceso y/o borrado de estas carpetas será sancionado. Con la baja de la cuenta.

______________________ ______________________

Nombre y firma del solicitante Nombre y firma de personal de TI

Constitución Política de los Estados Unidos Mexicanos, Art. 4°, párrafos II y III, Arts. 6º, 16º. , Ley Federal de Protección de Datos Personales en Posesión de Particulares, Art. 3º, fracción VI, Arts. 9º, 10º, y 13º.







01/04/2014

F. Modificación

01/04/2016

Versión:

02

Ref:

MCI / GLD

Página:

121 de 123





FORMATO DE CAMBIO DE CONTRASEÑA DEL EXPEDIENTE ELECTRONICO

Este acuerdo de confidencialidad para el cambio de contraseña entre en vigencia y se celebra el día ___________.en la Ciudad de México. Entre_________________________________________________ y el Hospital San Ángel Inn Universidad S.A de C.V.

Cambio de contraseña para el Acceso al Expediente Electrónico.

Identificación mostrada:………………………………………….. Cedula:………………………………………….. Motivo por el que solicita el cambio de la contraseña: ………………………………………… Desde este momento se asignara una nueva clave con la que podrá ingresas al sistema, la cual tiene las siguientes características. La clave es personalizada. (El usuario ingresa la clave). La clave es personal e intransferible. (El usuario y clave no pueden ser usadas por terceras personas, ya que al tratarse de un documento legal, el mal uso, la divulgación de información recae en la persona firmante de este documento). Quedando sin responsabilidad alguna el personal de TI, atención a médicos y capital humano. El mal manejo del usuario asignado será reportado inmediatamente a la dirección general del Hospital San Ángel Inn Universidad S.A de C.V.

______________________ ______________________ Nombre y firma del solicitante Nombre y firma de personal de TI







01/04/2014

F. Modificación

01/04/2016

Versión:

02

Ref:

MCI / GLD

Página:

122 de 123





ACUERDO DE CONFIDENCIALIDAD PARA LA ADMINISTRACIÓN DEL EXPEDIENTE ELECTRONICO

Este acuerdo de confidencialidad para el cambio de contraseña entre en vigencia y se celebra el día ___________.en la Ciudad de México. Entre_________________________________________________ y el Hospital San Ángel Inn Universidad S.A de C.V.

Administración del Expediente Electrónico. La administración del expediente electrónico queda en todo momento bajo el resguardo del personal que integra el área de TI.

Es responsabilidad del personal de TI. Garantizar el acceso al expediente electrónico en todos los equipos de las centrales, terapias, descanso de médicos, quirófano. Garantizar el no acceso a los servidores y bases de datos que contienen la información de los pacientes por parte de los usuarios. Solicitar identificación oficial al inicio del proceso de alta del nuevo usuario y/o en el cambio de contraseña. Llevar un control de los formatos de alta, baja, cambio de contraseña. El usuario firmante queda obligado a no divulgar por ningún medio electrónico, escrito, hablado información confidencial del expediente electrónico a terceras personas o instituciones ajenas. Está prohibido el uso de celulares, cámaras fotográficas para replicar las imágenes del expediente que se muestran en las pantallas de los equipos pc. Solo para casos de reporte de fallas. La realización de respaldos de la información de la base de datos. La mala administración, malos manejos del expediente electrónico en beneficio propio o de terceros será reportado directamente a capital humano, donde se levantara el acta administrativa correspondiente.

____________________ Nombre y firma de personal de TI







01/04/2014

F. Modificación

01/04/2016

Versión:

02

Ref:

MCI / GLD

Página:

123 de 123




23. Bitácora de copias controladas

Área donde se localiza Número de Copias Medio de Almacenamiento Firma

Dirección General 1 Impreso / Electrónico


1 Electrónico

Atención a Médicos 1 Impreso


1 Impreso / Electrónico

Calidad y Mejora Continua

1 Electrónico

Dirección Médica 1 Electrónico

Gerencia de Operaciones

1 Electrónico

24. Control de Cambios

Sección Fecha Revisió

n Resumen del cambio

01/04/2014 0 Emisión inicial.

15/01/2016 1

Revisión y actualización de todas las secciones. Se actualiza

el nombre del Director de Capital Humano.

01/04/2016 2 Actualización para certificación.

PLAN DE GESTIÓN DE TECNOLOGIAS DE LA...

Documents

Transcript of PLAN DE GESTIÓN DE TECNOLOGIAS DE LA...