plan de gestiÓn de tecnologias de la...
TRANSCRIPT
PLAN DE GESTIÓN DE TECNOLOGIAS
DE LA INFORMACIÓN
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
2 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Elaboró Revisó Vo. Bo. Autorizó
Ing. Alberto Hernández Vázquez
Jefe de Tecnología de la Información
Ing. Abel Corzo Gerencia de Tecnología
de la Información
Lic. Erenia Esther Sanchez Medina
Calidad y Mejora Continua
Ing. Roberto Bonilla de la Garza
Director General
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
3 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
INDICE
1. INTRODUCCION 2. GLOSARIO 3. PROPOSITO 4. ALCANCE 5. OBJETIVOS 6. ORGANIGRAMA DEL AREA DE TECNOLOGIA DE LA INFORMACION 7. RELACIÓN DE TI CON EL HOSPITAL 8. COMUNICACIÓN TI CON PROVEEDORES 9. POLÍTICA GLOBAL DE SEGURIDAD DE LA INFORMACIÓN 10. INFRAESTRUCTURA DE HARDWARE (EQUIPOS, DISPOSITIVOS, APARATOS)
y SOFTWARE 11. POLÍTICA DE ACCESO A REDES Y RECURSOS DE RED 12. POLÍTICA DE USO ADECUADO DE INTERNET 13. POLÍTICAS PARA EL USO DE DISPOSITIVOS MÓVILES 14. POLÍTICAS SOBRE EL CORREO ELECTRÓNICO 15. POLÍTICAS DE SEGURIDAD PARA EL USO DEL ANTIVIRUS 16. POLÍTICA DE INTERCAMBIO DE INFORMACIÓN 17. POLÍTICAS DE ACCESO A SITE 18. MANTENIMIENTOS PREVENTIVOS/CORRECTIVOS 19. POLÍTICAS DE RESPALDOS 20. POLÍTICAS DE ACCESO AL SISTEMA: EXPEDIENTE CLINICO ELECTRÓNICO 21. POLITICAS DE CONTRASEÑAS SEGURAS 22. FORMATOS USADOS POR EL DEPARTAMENTO DE TECNOLOGIAS DE LA
INFORMACIÓN 23. BITACORA DE COPIAS CONTROLADAS 24. CONTROL DE CAMBIOS
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
4 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
1. INTRODUCCIÓN
La innovación permanente de los servicios de salud ha ocasionado un gran dinamismo técnico y científico en el proceso Clínico asistencial de los pacientes. Los profesionales de la salud disponen, en la actualidad de una gama de elementos para la toma de decisiones clínicas, de ellos se deriva la necesidad de contar con documentos que establezcan la forma aceptada por la institución para la realización de los procedimientos de atención directa de los pacientes. La definición de los procedimientos clínicos del Hospital San Ángel Inn Universidad constituye un mecanismo de garantía de calidad y seguridad en el cuidado del paciente. Incluye todos aquellos procedimientos básicos que son comunes en la mayoría de los servicios del hospital. El presente manual de procedimientos, representa la consolidación de un estilo y de un instrumento de trabajo que en apego a las políticas y objetivos de la institución para que el área de Tecnología de la Información (TI) cuente con un documento normativo y técnico que guie las acciones a realizar, el mejoramiento continuo de la atención que reciben los usuarios, reflejado en una atención integral eficaz y eficiente en todas las áreas de esta Unidad Hospitalaria. Este documento tiene que ser revisado periódicamente a fin de enriquecerlo.
2. GLOSARIO Ancho de banda: Nos indica la capacidad de comunicación, o la velocidad de transmisión de datos de una línea de conexión.
Antivirus: programa que busca y eventualmente elimina los virus informáticos que pueden haber infectado un disco rígido o medio extraíble.
Archivo: Son un conjunto de registros lógicos. Backup: Copia de seguridad. Se hace para prevenir una posible pérdida de información.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
5 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Base de datos: Es un almacenamiento colectivo de las bibliotecas de datos que son requeridas y organizaciones para cubrir sus requisitos de procesos y recuperación de información.
Cifrado: Codificación de datos mediante diversas técnicas matemáticas que garantizan su confidencialidad en la transmisión.
Código malicioso: Cualquier programa con una intención molesta, malévola o ilegal. Generalmente están diseñados para ejecutarse sin la intervención del usuario.
Contraseña: Conjunto de letras, números y símbolos, o incluso frases, utilizadas para autenticar usuarios en un sistema informático. Para que el uso de contraseñas sea efectivo es necesario escogerlas de manera que sean difíciles de adivinar para un atacante.
Correo electrónico: Intercambio de mensajes entre computadoras.
Correos encadenados: Son mensajes de correo electrónico donde se solicita que el mensaje sea reenviado a otras personas para que éstas a su vez los reenvíen. Es una de las posibles fuentes de problemas con el correo electrónico, ya que a veces contienen noticias falsas, pueden ser portadores de virus, etc.
Criptografía: Disciplina que se ocupa de la seguridad de la transmisión y el almacenamiento de la información.
Denegación de servicio: Ataque informático que, sin afectar a la información contenida en un sistema, lo deja incapacitado para prestar servicio. La denegación puede conseguirse mediante la saturación o el bloqueo de las máquinas.
E-mail: Abreviatura del inglés electronic mail, correo electrónico.
Fibra óptica: Tecnología para transmitir información como pulsos luminosos a través de un conducto de fibra de vidrio. La fibra óptica transporta mucha más información que el Cable de cobre convencional. La mayoría de las líneas de larga distancia de las compañías telefónicas utilizan la fibra óptica. Firewall: Sistema de red que controla a que máquinas y servicios se puede acceder dentro de una red. Puede ser un sistema especializado o un programa instalado (firewall
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
6 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
personal). Cuando este control se realiza sobre la información trasmitida y no simplemente sobre la conexión el sistema empleado es un proxy.
Hardware: Es la parte tangible del computador.
Impresora: Dispositivo periférico que reproduce textos e imágenes en papel.
Información: Es lo que se obtiene del procesamiento de datos, es el resultado final.
Internet: Conjunto de computadoras, o servidores, conectado en una red de redes mundial, que comparten un mismo protocolo de comunicación, y que presentan servicios a las computadoras que se conectan a esa red.
Laptop: Computadora portátil.
Multimedia: Combinación de texto, imagen (estática y en movimiento) y sonido.
Navegador: Programa que permite navegar por internet.
Periféricos: Cualquier dispositivo de hardware conectado a una computadora. Programa: Es una colección de instrucciones que indican a la computadora que debe hacer. Un programa se denomina software, por lo tanto, programa, software e instrucción son sinónimos.
Red: Grupo de computadoras, impresoras y otro dispositivos conectados entre si y que comparten cierta información.
SAIU: Hospital San Ángel Inn Universidad.
Servidor: Computadora que suministra información a través de una red a otras computadoras.
Sistema operativo: Programa que administra los demás programas en una computadora. Spam: Correo comercial no solicitado que se envía a través de internet. El volumen y
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
7 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
contenido del spam puede dificultar notablemente el uso de servicios de correo electrónico.
Software: Conjunto de programas, documentos, procesamientos y rutinas asociadas con la operación de un sistema de computadoras, es decir, la parte intangible de computador.
TI: Tecnologías de la Información.
Troyano: Código malicioso camuflado dentro de otro programa aparentemente útil e inofensivo. Los troyanos pueden ir incluidos dentro de programas conocidos, de forma que es necesario controlar la fuente de donde se obtiene el software.
USB (Universal Serial Bus): es una interface de tipo plug & play entre una computadora y ciertos dispositivos, por ejemplo, teclados, teléfonos, escáner e impresoras. Usuario: Cualquier individuo que interactúa con la computadora a nivel de aplicación. Los programadores, operadores y otro personal técnico no son considerados usuarios cuando trabajan con la computadora a nivel profesional. Virus: El tipo más conocido de código malicioso. Programa que se copia dentro de otros programas e intenta reproducirse el mayor número de veces posible. Aunque no siempre es así, la mayoría de las veces el virus, además de copiarse, altera o destruye la información de los sistemas en los que se ejecuta.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
8 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
3. PROPÓSITO
Homologar los procesos que se realizan en el área de Tecnología de la Información (TI), con el propósito de lograr un control interno adecuado para el acceso y uso adecuado de equipo e información generada del Hospital San Ángel Inn Universidad, de los servicios de salud, siempre teniendo presente en salvaguardar y optimizar dichos recursos informáticos de la institución.
4. ALCANCE
Es aplicable para el área de Tecnología de la Información del Hospital San Ángel Inn Universidad, así como para los diferentes departamentos y proveedores que intervengan en dicho proceso.
5. OBJETIVOS
Objetivo general Establecer un mecanismo que integre, organice y regule todas las actividades del área de Tecnología de la Información para la adecuada conformación y funcionamiento del servicio, garantizando así una asistencia oportuna y eficaz ante cualquier situación, a efecto de reducir tiempos y mejorar la calidad, y seguridad de la información creada por el hospital. Objetivos específicos
Brindar soporte a las áreas clínicas y administrativas en las actividades relacionadas con el uso de software, registro y resguardo de información.
Mantener el hardware en funcionamiento para el uso de las áreas clínicas y administrativas.
Establecer un control en la asignación, uso, mantenimiento y acceso de los recursos informáticos del hospital.
Conformar un sistema de almacenamiento de datos, a fin de resguardar la información sensible del hospital.
Proteger la información del hospital de ataques de virus informáticos y cualquier otra amenaza digital.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
9 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
6. Organigrama General
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
10 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
6.1. Organigrama del área de Tecnología de la Información
Gerencia de TI
Jefatura de TI
Analista de TI, matutino
Analista de TI, vespertino
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
11 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Responsabilidades
Gerente de TI Jefe de TI Analistas de TI
Conocer los procesos operativos fundamentales del Hospital.
Conocer los procesos operativos fundamentales del Hospital.
Conocer los procesos operativos fundamentales del Hospital.
Sugerir alternativas de solución a problemas operativos que sea factible solucionar con el uso de tecnologías de información.
Sugerir alternativas de solución a problemas operativos que sea factible solucionar con el uso de tecnologías de información.
Instalar y actualizar los equipos de cómputo y periféricos.
Autorización de compra de equipo/herramientas.
Recibir los equipos de cómputo y
periféricos de proveedores.
Mantener actualizado un
inventario de los equipos de
cómputo, periféricos y
equipos de comunicación.
Análisis de propuestas de proveedores.
Supervisar y mantener actualizado un
inventario de los equipos de cómputo,
periféricos y equipos de comunicación.
Solucionar los problemas que
se presentan en los equipos
de cómputo, periféricos,
equipos de comunicaciones y
software.
Proponer las medidas de apoyo para el personal de TI.
Mantener actualizado el inventario de
accesos autorizados a Internet, así
como las cuentas de correo oficiales.
Ejecutar el plan de mantenimiento de los equipos de cómputo y periféricos.
Dirigir y Planificar las asesorías tecnológicas al personal de TI.
Recibir los reportes de fallas de equipos
de cómputo, periféricos, equipos de
comunicaciones y software, registrarlos
en una bitácora de servicio y
proporcionar número de reporte al
usuario.
Cablear los servicios de voz y datos que se requieran.
Proponer y administrar el presupuesto de gastos de TI.
Elaborar el plan de mantenimiento de los
equipos de cómputo y periféricos.
Asesorar a los usuarios en el
uso de los equipos,
programas y sistemas
aplicativos que existen en el
hospital.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
12 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
La firma de pólizas con proveedores.
Asegurar el buen funcionamiento en las
redes de comunicación de voz y datos
de la unidad, proporcionando el
calendario de mantenimiento preventivo
y correctivo de sus componentes.
Migrar los datos en caso de cambios de hardware o software, equipos de usuarios.
Firma de contratos con terceros. Mantener actualizados los programas
antivirus y resolver las contingencias
causadas por virus informáticos o código
malicioso.
Efectuar copias de respaldo de los datos críticos.
Relación continúa con proveedores.
Administrar las cuentas de acceso de los
usuarios, tanto de acceso a la red como
de las aplicaciones instaladas.
Realizar check list de servidores.
Administrar, actualizar y mantener en
operatividad los programas aplicativos
instalados.
Atender solicitudes de servicios.
Verificar que los sistemas y programas
se estén aplicando de acuerdo a las
funciones y necesidades de los
usuarios.
Resguardo de herramienta de trabajo.
Supervisar copias de respaldo de los
datos críticos del hospital.
Limpieza de SITE, TRS y almacenes.
Vigilar que se cumpla el reglamento de
uso aceptable de equipos de cómputo e
informar a sus mandos superiores en
caso de incumplimiento.
Monitoreo constate de servidores.
Atender solicitudes de servicio Monitoreo de cámaras de vigilancia
Creación de plan de actualizaciones Monitorear el comportamiento de la red.
Solicitud de equipo de trabajo
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
13 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Realiza flujogramas de procesos, normas y procedimientos de Sistemas.
Reporte de fallas con proveedores.
Elabora informes periódicos de las actividades realizadas.
Instalación y mantenimiento de software propio o programas comerciales.
Supervisa el trabajo del personal a su cargo.
Instalación y configuración de componentes internos o externos.
Reporte de fallas con proveedores Control de la red.
Elaborar solicitudes de pagos de productos/servicios
Formación de los usuarios.
Supervisión de la red Mantenimiento de los equipos, detección y resolución de averías.
Establecer criterios de seguridad. Gestión de cuentas de usuario y asignación de recursos a las mismas.
Supervisión de cuentas de usuario y asignación de recursos a las mismas.
Relación continúa con proveedores.
7. RELACIÓN DE TI CON EL HOSPITAL Comunicación interdepartamental.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
14 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
RELACIÓN CON EL ÁREA DE COMPRAS
TI
Dierección Medica/áreas
clinicas
Enfermería
Áreas Administrativas
Almacen General
Calidad Capital
Humano
Compras
Contabilidad
Admisión
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
15 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
RELACIÓN CON ÁREA DE CONTABILIDAD
Actividad Responsable
Solicitud de pago de servicio de telefonía TI (Jefatura) Solicitud de pago de impresoras
Solicitud de pago de servicios.
Solicitud de compra de activos fijos
Solicitud de pago de pólizas, mantenimientos.
Atención de reportes
Revisión de documentos entregados por TI compras Creación de solicitud de compra
Envió de solicitud de compra a proveedor y TI vía correo
Envió de documentación a cuentas por pagar
Levantamiento de reporte para TI
TI COMPRAS
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
16 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
TI CONTABILIDAD
RELACIÓN CON ÁREA DE ALMACÉN GENERAL
Actividad Responsable
Solicitud de alta de activo fijo a contabilidad TI
Entrega de folio de alta de activo fijo a TI Contabilidad
Verificación de pago a proveedor TI
Pago de proveedor Cuentas por pagar
Levantamiento de reporte para TI Contabilidad
Atención de reportes TI
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
17 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
RELACIÓN CON ÁREAS ADMINISTRATIVAS
TI Almacén
Actividad Responsable
Solicitud de papelería TI (jefatura, Analistas)
Entrega de papelería Almacén
Recepción de equipos Almacén
Aviso de llegar de equipo Almacén
Recoger equipos del almacén TI (jefatura, analistas)
Firma de equipos recibidos TI (jefatura)
Levantamiento de reporte para TI Almacén
Atención de reportes TI
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
18 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Actividad Responsable
Solicitud de servicio Área administrativa
Atención de servicio TI (jefatura, analistas)
Solución de servicio TI(jefatura, analistas)
Conformidad de solución Área administrativa
Solicitud de reportes Área administrativa
Envió de reportes TI (jefatura)
Levantamiento de reporte para TI Área administrativa
Atención de reportes TI
TI Áreas
administrativas
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
19 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
RELACIÓN CON ENFERMERÍA
Actividad Responsable
Solicitud de formato de acceso SAP/VHS Gerencia de enfermería
Autorización formato de acceso SAP/VHS Director General
Creación de usuario SAP/ VHS TI (jefatura)
Redacción de responsiva de acceso TI (jefatura, analistas)
Firma de responsiva Solicitante
Resguardo de responsiva TI
Solicitud de cambio clave Solicitante/identificación
Cambio de clave en sistemas TI (jefatura, analistas)
Levantamiento de reporte para TI Personal de enfermería
Atención de reportes TI
TI Enfermería
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
20 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
RELACIÓN CON ÁREAS CLÍNICAS
Actividad Responsable
Solicitud de servicio Área administrativa
Atención de servicio TI (jefatura, analistas)
Solución de servicio TI(jefatura, analistas)
Conformidad de solución Área administrativa
Solicitud de formato de acceso S VHS R.H (doc. Staff) , A. Médicos (doc. Externos)
Autorización formato de acceso VHS R.H (doc. Staff) , A. Médicos (doc. Externos)
Creación de usuario VHS TI (jefatura, analistas)
Redacción de responsiva de acceso TI (jefatura, analistas)
Firma de responsiva Solicitante
Resguardo de responsiva TI
Solicitud de cambio clave Solicitante/identificación
Cambio de clave TI (jefatura, analistas)
TI Dirección
Medica/áreas clinicas
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
21 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
RELACIÓN CON CAPITAL HUMANO
Actividad Responsable
Solicitud de servicio Capital Humano
Atención de servicio TI (jefatura, analistas)
Solución de servicio TI(jefatura, analistas)
Conformidad de solución Capital Humano
Publicación de lineamientos Capital Humano
Apego a lineamientos TI
Solicitud de información TI
Entrega de información Capital Humano
Retroalimentación de personal TI
Resguardo de retroalimentación Capital Humano
RELACIÓN CON CALIDAD
TI Capital Humano
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
22 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Actividad Responsable
Solicitud de servicio Calidad
Atención de servicio TI (jefatura, analistas)
Solución de servicio TI(jefatura, analistas)
Conformidad de solución Calidad
Publicación de normativas Calidad
Apego a normativas TI
Solicitud de indicadores Calidad
Entrega de indicadores TI (jefatura)
TI Calidad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
23 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
8. COMUNICACIÓN TI CON PROVEEDORES
Actividad Responsable
Solicitud de servicio Personal de TI
Atención de servicio Proveedores
Difusión de políticas TI(jefatura)
Apego a políticas Proveedores
Continua comunicación Personal de TI/ Proveedores
TI
ANTIVIRUS
bitdefender
PACS
Mesa de ayuda SAP
VHS
NEC
GESAC
SCANDA
KUNAT
BARRACUDA
KYOCERA
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
24 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
9. POLÍTICA GLOBAL DE SEGURIDAD DE LA INFORMACIÓN
El Hospital San Ángel Inn Universidad como propietario de la información física así como de la información generada, procesada, almacenada y transmitida por medio de sus canales de comunicación, otorgará responsabilidad a las áreas sobre sus activos de información, asegurando el cumplimiento que regulen el uso adecuado de la misma. La información, archivos físicos, los sistemas, los servicios y los equipos (pc, laptop, impresoras, cables redes, Internet, correo electrónico, herramientas de acceso remoto, aplicaciones, teléfonos) propiedad del hospital, son activos de la institución y se proporcionan a los trabajadores y terceros autorizados, para cumplir con los propósitos de sus respectivas áreas. Toda la información que se genera dentro del hospital, así como los activos donde ésta se almacena y se procesa deben ser asignados a un responsable, inventariados y posteriormente clasificados. La información es un activo fundamental para la prestación de los servicios y la toma de decisiones eficientes dentro del Hospital San ángel Inn Universidad, razón por la cual existe un compromiso expreso de protección de sus propiedades más significativas como parte de una estrategia de la administración de riesgos y la consolidación de una cultura de seguridad. La implementación de un modelo de gestión de seguridad de la información como una herramienta que permite identificar y minimizar los riesgos a los cuales se expone la información, ayuda a la reducción de costos operativos y financieros, establece una cultura de seguridad. Los colaboradores, personal externo, proveedores y todos aquellos que tengan responsabilidades sobre los datos, almacenamientos y recursos de procesamiento de la información, deben adoptar los lineamientos contenidos en el presente documento y en los documentos relacionados con él, con el fin de mantener la confidencialidad, la integridad y asegurar la disponibilidad de la información. La Política Global de Seguridad de la Información se encuentra soportada por políticas, normas y procedimientos específicos los cuales guiarán el manejo adecuado de la información.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
25 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Las Políticas de Seguridad de la Información pretenden instituir y afianzar la cultura de seguridad de la información entre los colaboradores, personal externo y proveedores. Por tal razón, es necesaria que las violaciones a las Políticas Seguridad de la Información sean clasificadas, con el objetivo de aplicar medidas correctivas conforme con los niveles de clasificación definidos y mitigar posibles afectaciones contra la seguridad de la información. Las medidas correctivas pueden considerar desde acciones administrativas, hasta acciones de orden disciplinario o penal, de acuerdo con las circunstancias, si así lo ameritan.
10. INFRAESTRUCTURA DE HARDWARE (EQUIPOS, DISPOSITIVOS, APARATOS) y SOFTWARE
OBJETIVO Garantizar el adecuado funcionamiento de los equipos de cómputo, telefónicos e impresión de la institución, tanto física como lógicamente. La finalidad de las políticas de uso de hardware y software que se describen más adelante es proporcionar instrucciones específicas sobre cómo mantener seguros los equipos de la Institución (conectados o no en red), así como la información guardada en ellos. ALCANCE Estas políticas son aplicables a todos los equipos propiedad del hospital, así como a sus respetivos responsables. RESPONSABILIDADES DE TI La responsabilidad de TI ante la adquisición, instalación, mantenimiento y buen funcionamiento de los equipos, dispositivos de la Institución son las siguientes:
Deberá vigilar y llevar un inventario detallado de la infraestructura de Hardware, acorde con las necesidades existentes.
Deberá determinar la vida útil de los equipos de informática, con la finalidad de optimizar su uso.
El área de TI es responsable de recibir los equipos pc y/o portátil para su reasignación o disposición final, y generar copias de seguridad de la información
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
26 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
de los equipos que se retiran o cambian de labores, cuando les es formalmente solicitado.
Es responsabilidad del área de TI realizar un análisis de riesgos de seguridad de manera periódica, sobre la colocación física de los equipos.
El área de TI debe definir las condiciones de uso y protección de los activos de información, tanto los tecnológicos como aquellos que no lo son.
El área de TI debe realizar revisiones periódicas de los recursos dentro del SITE y los sistemas de información del hospital, mediante un check list.
El área de TI debe establecer una configuración adecuada para los recursos tecnológicos, con el fin de preservar la seguridad de la información y hacer un uso adecuado de ellos. Todos los equipos pc y laptop propiedad del hospital deben contar con una contraseña personalizada. De acuerdo a la privacidad de la información se deben de contar con medidas robustas de seguridad como cifrados de discos.
Deberá participar en los contratos de adquisición de bienes y/o servicios, donde se incluyan equipos informáticos como parte integrante o complementaria de otros.
Deberá confirmar que los equipos de informática cumplan con las especificaciones indicadas en las solicitudes de compra, de no ser así se encargará de la devolución de los mismos.
Deberá realizar el mantenimiento técnico preventivo de todos los equipos informáticos de la Institución.
Será responsable de instalar los equipos y programas informáticos utilizados en la Institución.
Será responsable de evaluar el área física donde se instalara un nuevo equipo informático, confirmando que el área este óptima para la instalación de los mismos.
Verificará que los equipos tecnológicos tengan: disponibilidad de energía eléctrica, cableado estructurado y mantengan las condiciones físicas aceptables y adecuadas de temperatura, entre otros.
Deberá solicitar al Departamento de mantenimiento las infraestructuras o servicios de disponibilidades eléctricas, etc., previamente a la instalación de los equipos informáticos requeridos.
Verificará el inventario de los equipos y programas informáticos que sean instalados, con la finalidad de llevar un control de los mismos.
Instalará todas las aplicaciones de los equipos y programas informáticos utilizados por el hospital.
Instruirá al Usuario sobre el uso y manejo adecuado de los equipos y programas informáticos instalados.
Verificará que los proveedores de programas de computadoras suministren los manuales correspondientes al funcionamiento de los equipos o programas especializados.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
27 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Restringirá el acceso a los equipos tecnológicos mediante contraseñas personalizadas.
El área de TI garantizara el servicio de red para el funcionamiento de todos los equipos que necesiten conexión de red.
El personal de TI debe de reportar al técnico de impresiones fallas con equipos de impresión y escaneo.
Es responsabilidad del técnico de impresiones el realizar el mantenimiento preventivo y correctivo de los equipos de impresión.
Es responsabilidad del técnico de impresiones el solicitar las refacciones y tóner correspondientes a cada equipo que se tenga con falla o falta de tóner en el hospital. Esto supervisado por el jefe de TI.
Velará porque todo el software instalado en los equipos, este legalmente licenciado.
Tendrá la custodia y almacenamiento de todos los programas informáticos del hospital.
Definirá los discos de Red de todas las áreas, para poder fragmentar el acceso a la información y una mejor organización.
Establecerá configuraciones automatizadas para que los usuarios guarden toda su información en los discos de red cuando así se requiera
Los equipos portátiles tienen que tener una protección de cifrado de disco. RESPONSABILIDADES DE LOS USUARIOS Los recursos informáticos asignados a los usuarios, deben usarse adecuadamente, con responsabilidad acorde a los siguientes lineamientos:
Las jefaturas y direcciones serán la única responsable de hacer requerimientos de los activos informáticos que hayan sido proyectados, según las necesidades que se presenten en cada área de trabajo. Solicitando el activo mediante el formato de nuevo equipo, firmado por las personas indicadas, indicando el motivo de la solicitud.
Los directores y Jefes de Oficina, o quien ellos designen, deben recibir los recursos tecnológicos asignados a sus colaboradores cuando estos se retiran del hospital o sean asignados a otras áreas , quedando a su resguardo.
Los propietarios de los activos de información son responsables del cuidado de los equipos asignados para la realización de sus actividades, creando un ambiente seguro.
Solo podrán utilizar los equipos asignados para ejecutar las actividades o tareas institucionales. Los equipos informáticos sólo deben usarse para actividades de trabajo, no está permitida la utilización de los equipos con fines recreativos, ni con fines particulares.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
28 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
No podrán usar equipos tecnológicos personales como: laptops, dispositivo informático, etc., en el área de trabajo. El personal de TI no se responsabiliza de la información que en este en equipos personales.
No podrá traer ni efectuar solicitudes a TI, de reparación de equipos tecnológicos personales.
Los propietarios de los activos de información deben ser conscientes que los recursos de procesamiento de información del hospital, se encuentran sujetos a auditorías por parte de TI, así como la realización de respaldos, actividad que no requiere consentimiento para equipos en áreas comunes.
No podrá usar los equipos de cómputo como equipos de piza papeles, o para colocar equipos sobre estos.
Los usuarios deberán cuidar física y lógicamente los recursos informáticos; pensando que estos están al servicio de todos.
No manipular alimentos sobre los equipos informáticos teniendo especial cuidado de no derramar líquido en ellos. En caso de daño el personal de TI realizara un dictamen técnico el cual será firmado por el jefe y gerencia de TI, responsable del área y Dirección General.
Al detectar alguna falla en el equipo el usuario reportara el problema con personal de TI. Por ningún motivo se permite que el usuario de solución a la falla.
El usuario no deberá abrir los equipos informáticos, como tampoco sacar o cambiar componentes de los mismos.
Evitar instalar equipos sin la supervisión y autorización expresa de Tecnología Informática.
No pueden moverse los equipos o reubicarlos sin permiso. Para llevar un equipo fuera de la institución se requiere el documento de salida de equipos con la autorización respectiva de Tecnología Informática y Administrativo.
La pérdida o robo de cualquier componente de hardware o programa de software debe ser reportada inmediatamente.
El usuario será responsable del equipo de cómputo entregado por Tecnología Informática. Se firmara carta responsiva.
Está prohibido instalar y/o descargar juegos, videos, música ni aplicaciones de ningún tipo de las páginas del Internet, discos extraíbles que no guarden relación con el hospital.
Está prohibido tener en los discos de Red archivos que no tengan o guarden relación con el hospital.
Está prohibido desinstalar, desactivar el Antivirus de su equipo, ya es de alto riesgo para la seguridad ante el peligro de los virus.
Deberá informar a TI, en caso de presentarse cualquier problema de virus en su equipo informático.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
29 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Todos los equipos deben disponer de servicios de navegación en Internet y correo electrónico si así se requiere por la naturaleza de sus actividades.
El equipo pc/laptop que sea entregado al usuario contendrá en el disco duro el software básico para su operación, paquetería office, antivirus, SAP, software propio del departamento.
La solicitud para la implementación de Sistema o Software que se requiera debe ser enviada por el responsable del departamento respectivo al responsable de TI.
El usuario deberá mantener los archivos de su equipo ordenados, siendo de su responsabilidad conservar espacio suficiente en el disco duro para poder ejecutar sus aplicaciones.
La instalación de software y/o sistemas sólo podrán ser efectuadas por el personal de TI, siendo este el que efectúe las pruebas técnicas de la instalación, encargándose posteriormente de su mantenimiento y respaldos.
Respetar la propiedad intelectual y licencias. El usuario no podrá copiar o redistribuir programas con licencias, datos o investigaciones sin autorización expresa de TI.
La instalación de un software y/o Sistema no autorizado por TI puede provocar que alguna aplicación no funcione adecuadamente, lo que implica el retiro inmediato del software.
Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al personal de TI.
Los usuarios deben asumir que todo el software que está instalado en sus equipos está protegido por derechos de autor y requiere licencia de uso. Por tal razón es ilegal y está terminantemente prohibido hacer copias o usar ese software para fines personales, ya que puede significar sanciones legales para el hospital.
El usuario no podrá alterar o modificar Software y/o Sistema que se encuentran a su disposición.
No deben usarse medios de almacenamiento en cualquier computadora del hospital a menos que se haya previamente verificado que están libres de virus u otros agentes dañinos. En las centrales de enfermería queda prohibido el uso de medios extraíbles.
La instalación y uso de software de juegos no será autorizado bajo ninguna circunstancia, por lo que su uso está prohibido.
No debe utilizarse software descargado de Internet y en general software que provenga de una fuente no confiable, a menos que se haya sido aprobado su uso por el departamento de TI.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
30 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
Proceso de compra de Activo Fijo
Dirección GeneralUsuario Final TI Corporativo Contabilidad Compras Proveedor Almacén General
Fase
INICIO
El usuario final llena el formato de
solicitud de equipo de computo
La solicitud es por nueva vacante
La solicitud es por falla de equipo
Se manda formato a Dirección General
para firma
Usuario firma responsiva de
equipo
Se aprueba compra
Se instala Wyse
FIN
Se firma formato de compra
Se manda formato a firma a Corporativo
Se realizan 3 cotizaciones de
equipos
Seleccionar mejor opción
Gerencia de TI firma el formato de
compra
Se manda formato de compra a
Dirección General
Se manda solicitud de alta de activos a
contabilidad
Se realiza la solicitud de
producto en SAP
Se crea juego de copias para
Compras
Se firman los juegos1 para TI y 1 para
Compras
Se firma formato de compra
Se envía formato a TI
Se da de alta el activo fijo
Se envía a TI el alta para SAP
Compras verifica la información
Información correcta
Compras realiza su proceso
Se crea la orden y se manda a proveedor
SI
NO
NO
SI
SI
NO
SI
NO
Recibe la orden de compra
Indica al área de TI cuando llega el
equipo
Envía el equipo a las instalaciones del
Hospital
Almacén recibe el equipo
Ingresa el equipo a SAP
Informa al área de TI la llegada del
equipo
Personal de TI recoge el equipo en
almacen
Se informa al usuario Final la llega del equipo
Se configura equipo
Se instala equipo en el lugar físico del
usuario
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
31 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
Proceso de Compra de activo Fijo
Dirección GeneralUsuario Final TI
Fase
INICIO
El usuario final llena el formato de
solicitud de equipo de computo
La solicitud es por nueva vacante
La solicitud es por falla de equipo
Se configura equipo
Se realiza diagnostico del
equipo
El equipo queda funcionando con mantenimiento
correctivo
Se realiza mantenimiento
correctivo
SI
Se instala equipo en el lugar físico del
usuario
NO
Se aprueba compra
Se instala Wyse
FIN
Se crea diagnostico del equipo
indicando cambio por falla
NONO
Se realizan 3 cotizaciones de
equipos
Se sigue proceso de compras
SI
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
32 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
33 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
11. POLÍTICA DE ACCESO A REDES Y RECURSOS DE RED
OBJETIVO Tener un adecuado control del acceso a las diferentes redes del hospital, dentro y fuera de las instalaciones. ALCANCE Todas las redes cableadas e inalámbricas del hospital, así como a todos los equipos propios y/o externos que tengan acceso. El área de TI, como responsables de las redes de datos y los recursos de red del hospital, debe garantizar la seguridad contra accesos no autorizados a través de mecanismos de control de acceso lógico. Normas dirigidas a: TI Se debe establecer un procedimiento de autorización y controles para proteger el acceso a las redes de datos y los recursos de red del hospital. Se debe asegurar que las redes inalámbricas del hospital cuenten con métodos de seguridad que evite accesos no autorizados. El área de TI debe autorizar la creación o modificación de las redes inalámbricas o recursos de red. El personal de TI debe verificar periódicamente los controles de acceso para los usuarios provistos por terceras partes, con el fin de revisar que dichos usuarios tengan acceso permitido únicamente a aquellos recursos de red y servicios para los que fueron autorizados.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
34 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Normas dirigidas a: TODOS LOS USUARIOS Todos los equipos de cómputo conectados a la red del hospital cuentan con los privilegios necesarios para el manejo de herramientas que usan la red como SAP, VHS, correo electrónico, portales de asegurados, portales de salud, gobiernos, bancos, etc. La navegación de redes sociales, chats, compras en línea, etc. Contenidos ajenos a las actividades del hospital quedan totalmente prohibidos. Los equipos de móviles personales de usuario que se conecten o deseen conectarse a las redes de datos del hospital deben cumplir con el llenado de formato de solicitud de conexión a la red de equipos externos, firmado por el jefe de área y el director del hospital. Todos estos equipos se conectaran exclusivamente a la red de invitados.
12. POLÍTICA DE USO ADECUADO DE INTERNET
OBJETIVO El área de TI proporcionará los recursos necesarios para asegurar la disponibilidad de acceso a internet a los usuarios que así lo requieran para el desarrollo de sus actividades diarias en el instituto. ALCANCE Estas políticas son aplicadas a todos los equipos y usuarios que por la naturaleza de sus actividades necesiten el acceso a la web. NORMAS DE USO ADECUADO DE INTERNET El área de TI monitoreará, controlará y fiscalizará el acceso de los usuarios al Internet. Cualquier violación o uso indebido del acceso a Internet conllevará acción. Se considera uso aceptable del acceso a Internet el acceso para la búsqueda de información e intercambio de datos relacionado a la función administrativa, la gestión académica y de investigación, procesos educativos, y toda otra función relacionada a la operación hospitalaria.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
35 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Si un empleado no está seguro sobre qué constituye un uso aceptable de Internet, pídale que consulte a su supervisor para mayor guía y clarificación. Todos los términos y condiciones indicados en este documento son aplicables a todos los usuarios de la red y la conexión a Internet del hospital. Cualquier usuario que viole estas reglas está sujeto a las acciones disciplinarias que el hospital estime apropiadas. Normas dirigidas a: TI
El área de TI debe proporcionar los recursos necesarios para la implementación, administración y mantenimiento requeridos para la prestación segura del servicio de Internet, bajo las restricciones de los perfiles de acceso establecidos.
El personal de TI debe diseñar e implementar mecanismos que permitan la continuidad o restablecimiento del servicio de Internet en caso de contingencia interna.
El personal de TI debe monitorear continuamente el canal o canales del servicio de Internet. Al detectar el mal uso de este recurso se enviara un correo con evidencia al jefe inmediato, capital humano indicando la falla.
Se debe establecer procedimientos e implementar controles para evitar la descarga de software no autorizado, evitar código malicioso proveniente de Internet y evitar el acceso a sitios catalogados como restringidos.
Se debe generar registros de la navegación y los accesos de los usuarios a Internet, así como establecer e implantar procedimientos de monitoreo sobre la utilización del servicio de Internet.
El personal de TI debe de monitorear mañana tarde y noche el ancho de banda del servicio de internet del enlace principal el cual es de 10 Megas.
Se debe generar una campaña para concientizar a los usuarios cuando utilicen el servicio de Internet.
El servicio de INTERNET es una serie de recursos de hardware y software y es el Departamento de TI el encargado de velar por la buena utilización de este recurso.
Las configuraciones del PC y su navegador es de exclusiva responsabilidad del Departamento de TI y siempre orientado a asegurar el ancho de banda para las aplicaciones y uso de interés del hospital.
El Departamento de TI de la DT velará por el cumplimiento de estas políticas,
resguardando los intereses de la Institución.
El Departamento de TI no se hará responsable por incidentes producidos por el no
cumplimiento de estas políticas de seguridad.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
36 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Normas dirigidas a: TODOS LOS USUARIOS
Los usuarios deben hacer uso del servicio de internet en relación con las actividades laborales que así lo requieran.
Los usuarios del servicio de Internet deben evitar la descarga de software desde internet, así como su instalación en sus equipos de trabajo.
No está permitido el acceso a páginas relacionadas con pornografía, drogas, alcohol, webproxys, hacking y/o cualquier otra página que vaya en contra de la ética moral, las leyes vigentes o políticas establecidas en este documento.
Los usuarios del servicio de internet tienen prohibido el acceso y el uso de servicios interactivos o mensajería instantánea como youtube, Facebook, Kazaa, MSN, Yahoo, Sype, Net2phome y otros similares, que tengan como objetivo crear comunidades para intercambiar información, o bien para fines diferentes a las actividades propias del hospital.
No está permitido la descarga, uso, intercambio y/o instalación de juegos, música, películas, protectores y fondos de pantalla, software de libre distribución, información y/o productos que de alguna forma atenten contra la propiedad intelectual de sus autores, o que contengan archivos ejecutables y/o herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad de la infraestructura tecnológica (hacking), entre otros.
No está permitido el intercambio no autorizado de información del hospital, de sus clientes y/o de sus colaboradores, con terceros.
No está permitido la transmisión de información confidencial del hospital con propósitos personales no relacionados a las funciones de trabajo o sin autorización.
Utilizar el acceso a Internet de forma que se cree congestión o degradación en dicho acceso, o poner en peligro de cualquier forma la productividad y operación de la Institución.
Utilizar el acceso a Internet para cualquier actividad que genere beneficio personal.
Realizar compras personales, no relacionados a funciones, a través del acceso a Internet.
Publicar electrónicamente falsa representación o representación no autorizada relacionada al hospital.
No se permite la utilización del acceso a Internet o de recursos tecnológicos para acceder y utilizar sistemas de correo electrónico públicos personales, tales como Hotmail, Yahoo Mail y Gmail.
Toda la información de Internet que sea redactada, transmitida y/o recibida por los sistemas informáticos del hospital se considera que pertenecen al hospital y se reconoce como parte de su información oficial.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
37 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
El equipamiento, servicios y tecnología utilizados para acceder a Internet son propiedad del hospital y se reserva el derecho de monitorizar el tráfico de Internet y monitorizar el acceso a la información que es redactada, enviada o recibida a través de sus conexiones online.
Todos los sitios y descargas pueden ser monitorizados y/o bloqueados por al área de TI si se estima que son dañinos y/o no productivos para el hospital.
La instalación de software tales como la tecnología de mensajería instantánea está estrictamente prohibido
No se puede compartir material confidencial, secretos comerciales, o información del hospital fuera de este a terceras personas o competencia sin autorización.
Los usuarios deben acceder a INTERNET usando el navegador que se provee en sus respectivos computadores. El navegador por defecto es el Microsoft Internet Explorer, google Chrome, Firefox.
Los usuarios pueden acceder a la red (Intramet) del hospital y cualquier otro sitio Internet que tenga relación con el quehacer hospitalario.
Está prohibido que cualquier persona ajena a la Institución haga uso del acceso a INTERNET. Para este caso se debe firmar el formato de confidencialidad de la información por el responsable de la personal y el solicitante.
Cada usuario deberá responsabilizarse de cualquier efecto NO deseado que provoque al intentar visitar algún sitio no permitido o bien instalar un programa NO autorizado ni licenciado.
Todo usuario que acceda a un sitio de contenido NO apropiado deberá responsabilizarse por cualquier eventual contagio o desperfecto ocasionado por la sola visita a este tipo de sitios.
Está prohibido el uso de este recurso para invadir la privacidad de otra persona, acosar, acechar o violar de otra manera los derechos de otros.
Queda prohibido que los usuarios accedan a otras redes privadas sin la autorización del Departamento de TI.
Para evitar algún problema de contagio masivo por el uso de programas NO autorizados por el departamento de TI, se prohíbe la instalación de software NO licenciado por la Institución, asimismo, serán auditados los programas instalados en cada equipo, entregando la información recogida a la autoridad competente que pueda evaluar las consecuencias de cada situación.
El uso de dispositivos móviles queda absolutamente prohibido, salvo autorización expresa del Departamento de TI, formato de acceso a dispositivos externos a la red.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
38 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
13. POLÍTICAS PARA EL USO DE DISPOSITIVOS MÓVILES
OBJETIVO Las presentes Condiciones de uso de los servicios de acceso de la red WiFi tienen como finalidad regular su utilización, y determinar las condiciones de acceso a los contenidos y servicios que, a través de Internet, se ponen a disposición de los empleados y usuario del hospital. El área de TI proveerá las condiciones para el manejo de los dispositivos móviles (teléfonos, tabletas, entre otros) institucionales y personales que hagan uso de servicios de red del hospital. ALCANCE Estas políticas aplican a todos dispositivos móviles pertenecientes o no al hospital y que requieren por cuestiones de trabajo o no acceso a la red. NORMAS PARA USO DE DISPOSITIVOS MÓVILES
Dentro del área de TI se cuenta con diferentes redes wifi dedicadas a diferentes tipos de usuarios. Red de invitados “Guest Universidad”-. Red totalmente visible, dedicada a dar servicio a terceras personas; personas ajenas al hospital y o personal operativo. Red totalmente abierta, el personal de TI ni el hospital se hacen responsables de la visualización de los contenidos a los que se pueden tener acceso. La clave de la red se cambia entre los primeros 5 días de cada mes. La cual es enviada vía correo a relaciones públicas para su divulgación a pacientes del hospital.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
39 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Esta red funciona bajo un enlace de internet infinitum del cual es imposible entrar a la red del hospital. Red disponible desde sótano hasta piso 6.
Esquema de red inalámbrica Guest Universidad
Redes de uso exclusivo para el hospital Red de Imagen-. Red visible, de uso exclusivo para equipos médicos usados por biomédica e imagen. Red de Administrativos-U-. Red oculta, dedicada para la conexión de personal administrativo, jefaturas, encargados de área. Cuenta con bloqueos de internet, con el fin de filtrar contenido como youtube, Facebook. Red de feedbox-U-. Red oculta, dedicada para la conexión de las tabletas usadas en los servicios del hospital para recabar las encuestas. Cuenta con bloqueos de internet, con el fin de filtrar contenido como youtube, Facebook. Red de Directivos-U-. Red oculta, dedicada para el uso de directivos de área, directores generales y directores médicos. Red de TI-U-. Red oculta, de uso exclusivo para personal de TI, para la administración de redes, equipos. Red totalmente abierta.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
40 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Por seguridad estas claves no son divulgadas, se colocan en los equipos por personal de TI, y su duración es mensual. Cada principio de mes la clave se tiene que cambiar por seguridad de la red e información. Estas redes están disponibles en todos los pisos del hospital, desde sótano hasta piso 10. Estas redes manejan un ancho de banda de 10 Megas.
Esquema de red inalámbrica
El área de TI debe configurar la opción de borrado remoto de información en los dispositivos móviles institucionales, con el fin de eliminar los datos de dichos dispositivos y restaurarlos a los valores de fábrica, de forma remota, evitando así divulgación no autorizada de información en caso de pérdida o robo. El área de TI debe instalar un software de antivirus en los dispositivos móviles institucionales. Normas dirigidas a: TODOS LOS USUARIOS Normas:
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
41 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
El usuario, usará el servicio de acceso WiFi de forma diligente y correcta y se compromete a no utilizarlo para la realización de actividades contrarias a la Ley, a la moral, a las buenas costumbres aceptadas y/o con fines o efectos ilícitos o prohibidos. El área de TI y el hospital San Ángel Inn Universidad declinan cualquier responsabilidad que de todo ello pudiera derivarse.
Los usuarios deben evitar usar los dispositivos móviles institucionales en lugares que no les ofrezcan las garantías de seguridad física necesarias para evitar pérdida o robo de estos.
Los usuarios no deben modificar las configuraciones de seguridad de los dispositivos móviles institucionales bajo su responsabilidad, ni desinstalar el software provisto con ellos al momento de su entrega.
Los usuarios deben evitar la instalación de programas desde fuentes desconocidas.
Los usuarios deben, cada vez que el sistema de sus dispositivos móviles institucionales notifique de una actualización disponible, avisar al personal de TI para su asistencia.
Los usuarios deben evitar conectar los dispositivos móviles institucionales asignados por puerto USB a cualquier computador público, de hoteles o cafés internet, entre otros.
Los usuarios no deben almacenar videos, fotografías o información personal en los dispositivos móviles institucionales asignados.
Los usuarios que almacén información del hospital en sus equipos móviles se hacen responsables del manejo de esta en caso de robo, perdida o extravió.
El personal operativo dentro del hospital no tiene permitido el uso del celular ni derecho a las conexiones wifi.
Es responsabilidad del área de Relaciones Publicas la divulgación de la contraseña de invitados a los pacientes y familiares.
Normas dirigidas a: TI
La administración de las redes móviles es una actividad exclusiva del personal de TI.
El personal de TI se encargara de la disponibilidad de las redes en cada una de las antenas dentro del hospital.
La creación propagación o eliminación de las redes inalámbricas estará a cargo del personal de TI.
Todo equipo móvil ya sea celular, Tablet, lap-top que requiera acceso a las redes wifi serán configurados por el área de TI.
El personal de TI se reserva la divulgación de las contraseñas de las redes móviles.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
42 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
El personal de TI se encargara de la colocación y/o cambio físico de antenas para una mejor propagación de la señal.
Es responsabilidad del área de TI el cambio de las contraseñas de estas redes cada mes.
Estas redes serán monitoreadas y en caso de detección de mal uso se realizara un reporte el cual será enviado vía correo a las jefaturas correspondientes con copia a capital humano.
El personal de TI escaneara las redes móviles y tendrá la facultad de negar el servicio a aquellos dispositivos que no tengan autorización del uso de este recurso.
El personal de TI dará acceso a las redes wifi al personal del hospital que presenten su formato de acceso firmado por el jefe de área, el director general del hospital, esta norma no se aplica a directivos. Estos equipos se conectara a la red de invitados
El personal de TI dará el acceso a la red de invitados a no más de 1 dispositivo por empleado que acredite el acceso; en habitaciones se deja como recomendación el uso de no más de tres equipos para conectarse a la red.
El área de TI facilita al usuario el acceso a los servicios de Internet, garantizando un ancho de banda mínimo adecuado para una correcta navegación.
El área de TI garantizará la disponibilidad y accesibilidad del servicio de acceso WiFi con continuidad. No obstante, pueden suceder eventualidades con fallas técnicas provenientes con la infraestructura del hospital y/o del proveedor de internet.
Se reserva la facultad de alterar sin aviso previo y en cualquier momento la configuración de las antenas y/ o redes. El usuario, reconoce y acepta que en cualquier instante el personal de TI puede suspender, desactivar o suprimir este servicio para mantenimiento.
El personal de TI no se responsabiliza si los equipos móviles propiedad de los usuarios no reconocen las configuraciones de la red. En este caso el personal de TI por ningún motivo está facultado para modificar las configuraciones de los dispositivos.
Los equipos personales que se conecten a las redes del hospital no contaran con la protección antivirus del hospital, por tal motivo el personal de TI ni el Hospital se responsabilizas del contagio de virus y demás software malicioso. Equipos de pacientes, familiares, etc.
En caso de dispositivos móviles inteligentes propiedad del hospital que almacenan información sensible, se buscan alternativas de seguridad de la información.
El área de TI debe establecer un método de bloqueo (por ejemplo, contraseñas) para los dispositivos móviles institucionales que serán entregados a los usuarios. Se debe configurar estos dispositivos para que pasado un tiempo de inactividad pasen automáticamente a modo de suspensión y, en consecuencia, se active el
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
43 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
bloqueo de la pantalla el cual requerirá el método de desbloqueo configurado. Así como el borrado de información vía remota por extravió o robo, si el equipo permite cifrar o encriptar la información se activara esta opción.
14. POLÍTICAS SOBRE EL CORREO ELECTRÓNICO
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
44 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
OBJETIVO Establecer la normativa del uso del servicio de correo electrónico para el Hospital San Ángel Inn Universidad. PROPÓSITO Garantizar la disponibilidad del servicio de correo electrónico en todo momento. Así como vigilar el buen uso de esta herramienta. ALCANCE La normativa se aplicará al servicio de correo electrónico del Hospital San Ángel Inn Universidad que se ofrece desde la plataforma Microsoft Outlook. Esta política debe ser conocida y cumplida por todo el personal de la Institución que cuente con una cuenta de correo electrónico. POLÍTICAS El correo electrónico es una herramienta de comunicación e intercambio de información oficial entre personas, no es una herramienta de difusión indiscriminada de información.
CUENTAS Y BUZONES DE CORREO TOPOLOGÍA
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
45 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Bajo el dominio “hsai.com.mx” se pueden distinguir tres tipos de cuentas: Personales, instituciones y organizativas. Cuentas Personales.- Identifican las direcciones de correo electrónico de una persona. Cuentas Institucionales-. Están asociadas a cargos. Las cuentas:
Direcciones generales, medicas.
Gerencias.
Coordinador área. Una persona tendrá acceso a una cuenta institucional en función de su cargo o de su actividad. Cuentas Organizativas -.Las cuentas organizativas están orientadas fundamentalmente a servicios. Pueden ser utilizadas por una o varias personas conjuntamente y son gestionadas por un responsable. Por consiguiente, este tipo de cuentas no están asociadas a cargos o personas. La administración de estas cuentas está a cargo del jefe de área, el cual indicara en que equipo o equipos se configurara la cuenta. SOLICITUD CREACIÓN/ELIMINACIÓN Los responsables de áreas y departamentos considerados en el otorgamiento de cuentas de correo electrónico establecerán, de acuerdo a su política interna y su estructura organizacional, la asignación de cuentas de correo electrónico a las personas que ellos determinen. La solicitud de cuentas de correo se realizara por parte del jefe del área correspondiente, llenando el formato de altas/bajas de cuentas de e-mail, donde se indicara quien solicita, el área, motivo de la solicitud, el nombre de la cuenta a dar de alta o baja. Tal documento debe de estar autorizado por EL DIRECTOR GENERAL DEL HOPISTAL. Este documento será entrego al departamento de TI para la creación o eliminación de la cuenta. TAMAÑO DE LOS BUZONES DE CORREO
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
46 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Las cuentas de correo electrónico tienen una capacidad de almacenamiento de 1 GB en el servidor de correo, superado esta capacidad la actividad de envió /recepción de información estará afectada. Los archivos *.pst generados por Microsoft Outlook 2007 no deben de exceder de los 6GB para su buen funcionamiento. ENVÍO Y RECEPCIÓN DE MENSAJES Se ha de considerar que el correo enviado circula por distintos servidores de Internet y que éstos imponen libremente restricciones sobre los tamaños admitidos, por lo que cuanto más grande sea el tamaño del mensaje de correo mayor es la probabilidad de que sea rechazado, impidiendo, de este modo, que llegue a su destino. Las políticas de envío y recepción de correos por parte de TI son: 100 correos por hora. 1000 correos por día. Hasta 100 destinatarios por correo. Archivos adjuntos 6 MB. Si no se cumplen estas políticas de envío de correos la cuenta de e-mail se bloquea por sospecha de actividades de Anti spam, las cuentas bloqueadas por este motivo se reportan con el proveedor “TELMEX” dando como respuesta un tiempo de 72 horas para dar solución y desbloquear la cuenta. SEGURIDAD Son múltiples los problemas de seguridad que pueden afectar al correo electrónico, entre los que cabe destacar:
Robo de identidad.
Virus y sobre todo los gusanos que utilizan técnicas de spam para propagarse después de infectar un PC
Combinación de virus y spam. Las últimas generaciones de virus se han creado para ayudar a los spammers. Muchos spammers han incorporado código malicioso en su spam.
Ataques con direcciones falsificadas. Consiste en inundar el servidor de un dominio real con los errores generados por una máquina atacada al procesar spam para distribuirlo a miles de destinatarios. El spammer coloca como dirección receptora de estos errores un dominio real y un usuario aleatorio. Esto provocará problemas de ancho banda, colapso
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
47 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
del servidor (colas, disco etc.). Puede ser considerado una Ataque de denegación de Servicio.
Generación innecesaria de tráfico SMTP. El envío y encaminamiento de un simple mensaje de correo electrónico implica el uso de varios recursos: conexiones SMTP, consultas DNS, procesamientos por MTA. Los propios errores de SMTP, el spam, los virus etc., generan informes a direcciones falsificadas provocando confusión en los usuarios y generando un exceso de tráfico Por lo anterior se especifican las siguientes recomendaciones generales: Contraseña La contraseña de acceso al correo no debe ser cedida o facilitada a otros usuarios, siendo responsabilidad del propio usuario su custodia. VIRUS DE CORREO ELECTRÓNICO Y ANTISPAM El software de antivirus analiza todo el tráfico de correo entrante y saliente, y rechazan el envío de mensajes que contienen virus. RESPONSABILIDADES DE JEFES DE ÁREA
Es responsabilidad de cada jefatura llenar el formato de altas /bajas de cuentas de correo cada que se tiene un nuevo personal o la baja de este.
El formato debe contener todos los campos llenos sin excepción alguna. Firmado y autorizado solo por las personas que el formato indica. Quedando como hincapié que sin las firmas correspondientes no se realiza la actividad de alta o baja de cuentas de correos.
La cancelación de una cuenta implica: La imposibilidad de enviar y recibir nuevos correos. La eliminación de los correos almacenados en el servidor.
Al dar de baja una cuenta de correo electrónico el jefe de área es responsable de dar a conocer a sus proveedores internos y eternos la baja y sustitución de este.
RESPONSABILIDADES DE LOS USUARIOS
Los usuarios del servicio de correo son responsables de las actividades realizadas con sus cuentas y buzones asociados.
Esta responsabilidad supone el cuidado de los recursos que integran dicha cuenta y, particularmente, de los elementos, como la contraseña, que pueden permitir el acceso indebido de terceras personas a dicha cuenta o a otros recursos personales que se utilicen.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
48 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Está prohibido facilitar y/o permitir el uso de la cuenta y buzón a cualquier otra persona distinta del propio usuario.
Los usuarios deben ser conscientes de la diferencia de utilizar direcciones de correo electrónico suministradas por el hospital o privadas, estas últimas quedan totalmente prohibidas para recibir o enviar información relacionada con las actividades del hospital.
Es incorrecto enviar mensajes con direcciones (remitente) no asignadas por los responsables de nuestra institución y, en general, es ilegal manipular las cabeceras de correo electrónico saliente.
El correo electrónico es una herramienta para el intercambio de información entre personas, no es una herramienta de difusión masiva e indiscriminada de información.
Los usuarios que tienen asignada una cuenta de correo electrónico, serán responsables en la atención oportuna de sus correos electrónicos; por lo que se recomienda: mantener en línea el software cliente de correo electrónico (Outlook), y activada la opción de avisar cuando llegue un nuevo mensaje, o conectarse al correo electrónico web con la mayor frecuencia posible para leer sus mensajes.
Los usuarios con cuenta de correo asignada deberán eliminar de forma periódica y permanente los mensajes que considere innecesarios en cualquiera de las carpetas existentes en su buzón, permitiendo con ello impedir la saturación de su buzón.
Al recibir un mensaje que se considere ofensivo, se debe reenviar el mensaje recibido al área de TI, con el fin de dar seguimiento a este acto y se puedan tomar las acciones respectivas.
Los usuarios deberán evitar la recepción de correo cuando se desconozca al remitente ya que en ocasiones este puede ser un mensaje con contenido basura o con virus.
Los usuarios son los responsables de la configuración del aspecto de visualización, organización. Etc. de su cuenta de correo, por ningún motivo pueden modificar las configuraciones de envió y recibido de información, así como la modificación o eliminación de su cuenta.
Utilizar siempre el campo "asunto" a fin de resumir el tema del mensaje.
Se deben enviar mensajes bien formateados y evitar el uso generalizado de letras mayúsculas.
Evitar usar las opciones de confirmación de entrega y lectura, a menos que sea un mensaje muy importante, ya que la mayoría de las veces esto provoca demasiado tráfico en la red.
Evitar enviar mensajes a personas que no se conocen, a menos que sea por un asunto oficial que los involucre.
Evitar enviar mensajes a listas globales, a menos que sea un asunto oficial que involucre a todo el hospital.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
49 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Antes de enviar el mensaje revisar el texto que lo compone y los destinatarios, con el fin de corregir posibles errores de ortografía, forma y fondo.
Para el reenvío de un mensaje, se debe incluir el mensaje original, para que el destinatario conozca el contexto en que se está dando el mensaje que recibe. No se debe incluir ningún archivo adjunto recibido originalmente, a no ser que se hayan efectuado modificaciones al(los) archivo(s) o bien dichos archivos sean necesarios.
Se considera como criterio de buen uso del correo electrónico el otorgar vigencia máxima en el buzón del usuario a cualquier mensaje enviado o recibido no mayor a 30 días. Superada la fecha de vigencia, los mensajes deberán ser eliminados por el usuario. Si se desea mantener un mensaje en forma permanente, éste deberá almacenarse en carpetas personales, siendo consiente el usuario que estos correos almacenados ocuparán parte importante del espacio del disco duro.
El sistema de correo electrónico no constituye, de ninguna manera, un método de almacenamiento de documentación oficial. Toda comunicación electrónica que contenga documentación oficial debe ser tratado con seguridad.
RESPONSABILIDADES DE TI
La creación de las nuevas cuentas de correo por parte de TI tiene un lapso de tiempo no mayor a 2 días después de contar con el formato de solicitud de altas de cuentas de correo totalmente autorizado.
Es responsabilidad del área de TI la creación de la firma electrónica con el siguiente formato.
Una vez firmado el formato de bajas de cuentas de e-mail el personal de TI tiene como máximo 1 día para la eliminación de la cuenta en el servidor de correos. Dejando el respaldo de la cuenta intacto.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
50 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Una vez entregado el formato de solicitud de baja de cuentas de correo totalmente autorizado el personal de TI no se responsabiliza de la actividad del mismo.
Se eliminarán aquellas cuentas de correo que no han sido consultadas durante un periodo continuado de 8 meses. Esto conlleva el borrado de los correos almacenados en dicha cuenta del servidor, realizando antes un respaldo de los correos.
El personal de TI será la encargada de garantizar la privacidad inicial de las cuentas de correo electrónico asignadas a los usuarios, esto debido a que conocerá de primera mano los nombres y contraseñas de los mismos, hasta la entrega oficial que se realice al usuario.
Sólo en el caso de que se detecte que un usuario este cometiendo una falta grave contra lo establecido en los presentes lineamientos para el uso del correo, el área de TI podrá tomar las medidas adecuadas respecto de dicha cuenta de correo.
La información transmitida mediante el servicio de correo electrónico, es responsabilidad única y exclusiva de cada usuario, no del personal de TI; por ello, el área de TI no garantiza la veracidad, integridad o calidad del contenido de los mensajes enviados mediante este servicio; si eventualmente el usuario recibiera contenido ofensivo o indecente no será, en ningún caso, responsabilidad del personal de TI.
El área de TI se reserva el derecho para conservar y / o revelar el contenido de algún mensaje si lo considera necesario para cumplir con procesos legales o para responder a leyes de transparencia, quejas de terceros por violación a derechos de autor, marcas, patentes; seguridad e integridad de los usuarios o por acciones que contravengan la normatividad existente.
El personal de TI se reserva el derecho para modificar las condiciones de uso aquí establecidas cuando lo considere necesario. También podrá modificar o bloquear servicios adicionales al servicio de correo cuando sea necesario, por razones administrativas, de mantenimiento de los equipos o por causas de fuerza mayor todo ello sin la obligación de aviso alguno a los usuarios del servicio.
El área de TI puede, en cualquier momento, cancelar o inhabilitar la cuenta de cualquier usuario sin previo aviso e incluso eliminar ésta por falta de uso, o bien; si considera que el usuario ha contravenido las reglas aquí mencionadas; en tales casos el personal de TI no se hace responsable de la información ni de eventuales repercusiones por dicha cancelación o inhabilitación.
Todas las cuentas del hospital se configuraran para conservar solo 10 días de correos en el servidor web, todo se almacena de forma local en el disco duro del equipo. Esto con el fin de evitar saturación en el servidor de correo.
DEL MAL USO DEL CORREO ELECTRÓNICO Se considera como mal uso del correo electrónico las siguientes actividades:
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
51 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Utilizar el correo electrónico para cualquier propósito comercial, político, religioso o financiero ajeno a las actividades propias del hospital.
Participar en la propagación de mensajes encadenados.
Distribuir mensajes con contenidos impropios y / o lesivos que atenten contra la moral o las buenas costumbres.
La saturación y falta de mantenimiento del buzón electrónico por parte del usuario.
El usuario no deberá entre otras cosas: falsificar las cuentas de correo electrónico, hacerse pasar por alguna otra persona, hacer declaraciones falsas, en cualquier otra forma falsificar la identidad de alguna persona, o falsificar los encabezados de los mensajes.
Apropiarse de alguna(s) cuenta(s) de correo diferente a la asignada a su persona.
Utilizar el correo electrónico institucional para recoger o re - direccionar los mensajes de correos de otro proveedor de Internet. Queda prohíbo el uso de proveedores de correo que no sean propios del hospital como Yahoo!, Hotmail, Gmail.
Difusión de contenido inadecuado. Son considerados contenidos inadecuados todo lo que constituya complicidad con hechos delictivos, por ejemplo: apología del terrorismo, uso y / o distribución de programas piratas, todo tipo de pornografía, amenazas, estafas, esquemas de enriquecimiento, virus o código hostil en general.
No es aceptable el uso de vocabulario obsceno en los mensajes que se envían.
Enviar de forma masiva publicidad o cualquier otro tipo de correo no solicitado, "spam".
Ataques con objeto de imposibilitar o dificultar el servicio.
Dirigir a un usuario o al propio sistema de correo electrónico, mensajes que tengan el objetivo de paralizar el servicio por saturación de las líneas, de la capacidad del servidor de correo, o del espacio en disco del usuario.
Los correos electrónicos que adjunten documentos que no son propios del remitente, deberán citar siempre la fuente de origen y / o los autores, a fin de respetar los derechos de propiedad intelectual.
Si se recibe algo cuestionable o ilegal, se deberá comunicar de inmediato al área de TI para que se tomen las acciones pertinentes.
El área de TI es la responsable de que el personal del hospital cumpla con lo dispuesto en los presentes lineamientos.
Los archivos multimedia que no tengan relevancia para el hospital quedan prohibidos para su envió vía correo.
La información que se envíe por correo electrónico debe siempre responder a un comportamiento profesional y ético.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
52 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Los equipos de cómputo que cuenten con más de una cuenta de correo electrónico deberán tener por separado los archivos *.pst de cada cuenta, esto con el fin de no mezclar información e identificar las carpetas de cada cuenta de correo.
Las cuentas de correo institucionales no pueden ser configuradas en los equipos móviles de los usuarios sin previa autorización y firma de formato de confidencialidad de información.
15. POLÍTICAS DE SEGURIDAD PARA EL USO DEL ANTIVIRUS
OBJETIVO
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
53 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Esta política está desarrollada para proteger los equipos de cómputo e información del Hospital San Ángel Inn Universidad frente a virus, otro software malicioso así como el robo de información. ALCANCE El alcance de esta política se apega a todos los equipos que se conecten a las redes del hospital, equipos propiedad de SAIU y externos. INSTALACIÓN, CONFIGURACIÓN, ELIMINACIÓN DEL ANTIVIRUS La instalación y / modificación del sistema antivirus es una actividad exclusiva del área de TI. Todos los ordenadores deben ejecutar una versión actualizada de un software antivirus (Bitdefender). Este software debe ser capaz de proteger al sistema operativo y la información en tiempo real y de actualizarse de forma automática cada vez que el equipo se conecte a la red. La modificación o eliminación es una actividad exclusiva del personal de TI, por lo cual estas actividades están protegidas bajo una contraseña, la cual debe cambiar cada 2 meses en todos los equipos. PROTECCIÓN Mientras el equipo esté conectado a la red no se debe detener, en ningún caso, la protección y actualización del antivirus. Es responsabilidad del usuario final el reinicio del equipo cuando el sistema antivirus se lo solicite por motivos de actualizaciones de firmas, eliminación de virus, etc. Todos los equipos conectados a la MPLS de 10 Megas ya sea por cable o de forma inalámbrica debe de contar con el sistema antivirus Bitdefender. Queda fuera de esta modalidad los equipos conectados a la red de guest Universidad, la cual es una red de invitados independiente a las redes para uso exclusivo del hospital. Esquema de protección del sistema antivirus.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
54 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
SEGURIDAD PARA SERVIDORES VIRTUALES DEL HOSPITAL. La solución antivirus es compatible con los sistemas operativos virtuales donde se conectan los equipos wyse, donde se almacena la información de estos y donde se encuentran sistemas como el VHS, de esta forma se garantiza la protección antivirus. SEGURIDAD PARA PUNTOS FINALES Todos los equipos pc de escritorio y portátiles propiedad del hospital cuentan con una instalación que garantiza la protección contra amenazas de la red, dispositivos como discos extraíbles. Altamente escalable ofrece la protección que necesita el hospital contra el malware y las amenazas de la Web. La solución antivirus del hospital es capaz de:
Reducir el esfuerzo manual.
Compatible con los sistemas operativos y equipos.
Incluye firewall bidireccional de detección de intrusiones y anti - capacidades de phishing, filtrado web y de control web que bloquea cada vez más diversas amenazas.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
55 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
PROTECCIÓN EN LA NUBE Protege los sistemas y utiliza la tecnología de seguridad clasificada. No requiere un servidor físico en el lugar y el mantenimiento es administrado por la consola Nube.
Protección completa.
Consola en la nube, cuenta con un centro de control.
Tecnologías avanzadas de detección de amenazas y de optimización, tales como filtradas de contenido web.
Rápido de instalar y gestionar. CREACIÓN O DIFUSIÓN DE SOFTWARE MALICIOSO. En ningún caso los usuarios pueden escribir, compilar, copiar, propagar o ejecutar de forma intencionada en equipos que se conecten a la red de hospital código diseñado para replicarse, dañar, espiar o entorpecer el desempeño de cualquier sistema. ELIMINACIÓN DE VIRUS Periódicamente se hará el rastreo en los equipos de cómputo, y se realizará la actualización de las firmas antivirus proporcionadas por el fabricante de la solución antivirus en los equipos conectados a la Red. La actualización de firmas se debe de realizar de forma automática y constante. La eliminación es trasparente, en caso de un evento grave el sistema indicar al usuario el reinicio del equipo para la eliminación de la amenaza. RESPONSABILIDADES
Normas dirigidas a: TI
Implementar la Solución Antivirus en las computadoras (pcs, laptop, servidores)
del hospital.
Vigilar la actualización de la solución Antivirus y firmas correspondientes que se
realiza de forma automática.
Solucionar contingencias presentadas ante el surgimiento de virus que la solución
no haya detectado automáticamente.
Notificar al proveedor del antivirus en caso de contingencia con virus.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
56 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Monitoreo contante de la consola con el fin de identificar equipos infectados,
historiales del comportamiento de equipos, modificación de políticas de seguridad.
(https://gravityzone.bitdefender.com/).
Atender correos/información transmitida por el proveedor de antivirus.
Se debe asegurar que el software de antivirus cuente con las licencias de uso requeridas, certificando así su autenticidad y la posibilidad de actualización periódica de las últimas bases de datos de firmas del proveedor del servicio.
Se debe asegurarse que los usuarios no puedan realizar cambios en la configuración del software de antivirus.
Se debe certificar que el software de antivirus, posea las últimas actualizaciones y parches de seguridad, para mitigar las vulnerabilidades de la plataforma tecnológica.
El área de TI aislará el equipo o red, notificando a la jefatura correspondiente, en
las condiciones siguientes:
1. Cuando la contingencia con virus no es controlada, con el fin de evitar la
propagación del virus a otros Equipos y redes.
2. Si el usuario viola las políticas antivirus.
Cada vez que los usuarios requieran hacer uso de discos, UBS, éstos serán
rastreados por la Solución Antivirus en la computadora del usuario al ser
introducidos al equipo y bloqueado si se detecta algún tipo de virus.
Los servidores virtuales serán escaneados de forma manual dos veces al mes.
(independientemente del escaneo automático de la herramienta). bitácora de
escaneo de servidores.
Los equipos pcs, laptop se escanearan de forma manual 1 ves al mes.
(independientemente del escaneo automático de la herramienta). bitácora de
escaneo de equipos de cómputo.
El área de TI debe certificar que la información almacenada en los equipos de cómputo sea escaneada por el software de antivirus, incluyendo la información que se encuentra contenida y es transmitida por el servicio de correo electrónico.
En caso de que el equipo no reconozca el antivirus del hospital se instalara el Microsoft Security Essentials, se levantara la incidencia y se buscara una solución por parte de TI.
En caso de contingencia con virus el área de TI deberá seguir el procedimiento establecido:
Identificación del equipo infectado.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
57 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Escaneo profundo del equipo para la eliminación del virus.
Eliminación de la amenaza de forma definitiva o cuarentena.
Creación de respaldo de información como medida preventiva una vez
desinfectado el equipo.
Reporte de la actividad, daño, estatus inicial y final.
Normas dirigidas a: los usuarios en general.
Los usuarios no deben cambiar o eliminar la configuración del software de antivirus, definida por el área de TI; por consiguiente, únicamente podrán realizar tareas de escaneo de virus en diferentes medios.
Si el usuario hace uso de medios de almacenamiento personales, éstos serán
rastreados por la Solución Antivirus en la computadora del usuario.
Los usuarios que sospechen o detecten alguna infección por software malicioso deben notificar al personal de TI.
Los usuarios deben asegurarse que los archivos adjuntos de los correos electrónicos descargados de internet o copiados de cualquier medio de almacenamiento, provienen de fuentes conocidas y seguras para evitar el contagio de virus informáticos y/o instalación de software malicioso en los equipos de cómputo.
El usuario deberá comunicarse con el área de TI en caso de problemas de virus
para buscar la solución.
Los usuarios deberán solicitar apoyo ante cualquier duda en el manejo de los
recursos de cómputo de la institución.
El usuario y el jede de área serán notificado por el área de TI en los siguientes
casos:
1. Cuando sea desconectado de la red con el fin de evitar la propagación del
virus a otros usuarios.
2. Cuando sus archivos resulten con daños irreparables por causa de virus.
3. Cuando viole las políticas antivirus.
Normas dirigidas a: Equipos externos / no propiedad de SAIU Las licencias de antivirus son de uso exclusivo para equipos propiedad del Hospital San Ángel Inn Universidad, los equipos externos de usuarios de hospitalización (pacientes, familiares, doctores) se conectaran en la red de invitados (esta red no tiene comunicación
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
58 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
con las redes internas del hospital, por lo cual los equipos conectados a esta red no tienen acceso a los documentos e información del hospital) sin excepción alguna. Los equipos móviles / computo de los colaborares o externos que acrediten mediante el formato de acceso a equipos externos a la red se conectaran a la red de invitados con el fin de proteger la información de personas externas. Si alguna persona requiere acceso a la red del hospital mediante un equipo externo, este firmara el formato de confidencialidad y la solicitud de acceso donde se plasmara el responsable del área que requiere este acceso. Se verificara que el equipo cuente con la protección de Microsoft Security Essentials.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
59 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
60 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
16. POLÍTICA DE INTERCAMBIO DE INFORMACIÓN
PROPÓSITO. Definir las directrices para proteger el intercambio de la información electrónica de forma interna y/o externa. ALCANCE Esta política se refiere a toda la información electrónica contenida en los activos físicos y lógicos del Hospital San Ángel Inn Universidad. Esta política es aplicable a todos los usuarios, ya sean de planta, suplencia, en evaluación y terceros (proveedores) que presenten servicios para el Hospital. NIVEL DE CONFIDENCIALIDAD Y PRIVACIDAD El Hospital ha clasificado el contenido de los mensajes (Información e ideas) de acuerdo al nivel de confidencialidad y o privacidad. Dicha clasificación se muestra a continuación: INFORMACIÓN PÚBLICA:
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
61 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
La información generada, administrada o en posesión de alguna entidad la cual es considerada un bien de dominio público accesible a cualquier persona.
Información Publica
No requiere protección
solicitud
oral
escrita
web/correo
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
62 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
INFORMACIÓN RESTRINGIDA: Es aquella que se encuentra temporalmente fuera del acceso públicodebido a que su difusión puede poner en riesgo la vida, seguridad y salud de las personas; así como la seguridad, estabilidad del Hospital San Ángel Inn Universidad. Esta información es propiedad del hospital y todos los grupos de interés deberán de dirigirla a ciertos receptores a través de medios o canales seguros, que no permiten el acceso de otros receptores a ésta información. Este material podría producir "efectos indeseados" si estuviera públicamente disponible.
Información restringida
Control de accesos fisicos
Contraseñas Almacenamiento y respaldos seguros
Requiere algunas medidas de seguridad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
63 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
INFORMACION CONFIDENCIAL O PRIVADA: Se trata de una propiedad de la información que pretende garantizar el acceso sólo a las personas autorizadas. Toda información generada por las diferentes áreas del Hospital que por su naturaleza no puede ser revelada a terceros y por lo tanto no es publica, es de un nivel crítico y que por ello debe ser tratada y protegida con mayor atención.
información confidencial
control de acceso fisicos y logicos
encriptación canales seguros de tranportación
doble resguardo y respaldo en medios
seguros
Autorizaciión por la Direcciión General
alto grado de seguridad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
64 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Información en el Hospital san Ángel Inn Universidad S.A de C.V
PUBLICA RESTRINGIDA CONFIDENCIAL O PRIVADA
Misión y visión del hospital Infraestructura de áreas criticas
Estados financieros
Valores Datos para INEGI Información contable
Normas de servicio Datos para la secretaria de Salud
Créditos otorgados
Metas internacionales Información que por ley se le otorga este rubro
Acuerdos directivos
Códigos Datos personales Acuerdos de junta de gobierno
Teléfonos de emergencia Sueldos y salarios Acuerdos comerciales
Correos electrónicos de atención al publico
Acuerdos entre áreas Datos fiscales
Folletos
Pagos y acuerdos aseguradoras
Acuerdos bancarios
Carteles
Pagos de proveedores Padecimiento de pacientes
Políticas
Contratos con usuarios Diagnósticos médicos
Programas de capacitación Contratos con proveedores Expedientes Clínicos
Promociones
Guía de servicios
Precios de servicios
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
65 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
La información privada o confidencial, así como la información restringida, deberá ser establecida, elegida y especificada por cada director y comunicada a los jefes y gerentes para ser divulgada e implementada en los operativos de cada área. La elección y especificación de cual información es confidencial, privada y restringida, está relacionada directamente a las políticas del hospital, sus procedimientos y acorde a las leyes, lineamientos y recomendaciones vigentes respectivas. A continuación se mencionan diversas informaciones que deben ser consideradas como confidenciales, privadas o restringidas: SEGURIDAD DE LA INFORMACIÓN. Clasificación
(nivel de seguridad)
Características
Autorización específica
Forma de entrega al usuario
Tiempo de retención
Acceso a la información
Forma de destrucción
Pública Disponible para quien la solicita (mediante los
canales autorizados)
Sin autorización Sin necesidad de firma de
recibido
No aplica Todo Público Basura municipal
Restringida
Es la que se utiliza para que el
personal realice su trabajo (es
información que genera, obtiene o la comunica a sus
superiores), el conocimiento por terceros puede
dañar al trabajador o a pacientes. Se conoce también
como DATO PERSONAL
SENSIBLE y es aquella
información que afecte a la esfera más íntima de su
titular, o cuya indebida
utilización pueda dar origen a
discriminación o conlleve un riesgo grave para éste.
Por la Dirección
General y las Leyes,
lineamientos o recomendaciones
vigentes
Requiere firma de recibido, y
que sea comunicación
oportuna, eficiente y efectiva, mediante
canales seguros. Bajo el
consentimiento o aviso de
privacidad.
Depende de la información y es acorde a la
legislación vigente.
-2 años para datos
administrativos -5 años para
datos contables corrientes a partir de la
última declaración. -5 años para
información de expediente clínico. -10 años datos
declaratorios. 10 años para material de banco de
sangre por contener
hemoderivados.
Poder judicial y Dirección
General. Bajo el
consentimiento o aviso de privacidad.
Departamento de datos
personales.
Basura municipal,
previo destrucción
que elimina el contenido, en
casos específicos se elabora acta
de destrucción.
De acuerdo a solicitud del
paciente.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
66 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Confidencial No está disponible para cualquiera
que la solicita. Se maneja por
canales seguros, va dirigida a
personas específicas, el
conocimiento de ésta información por terceros daña al Hospital San
Ángel Inn Universidad.
Por políticas institucionales, la dirección general
y las Leyes, lineamientos o
recomendaciones vigentes
Requiere firma de recibido, y
que sea comunicación
oportuna, eficiente y
efectiva, además de usar canales
seguros
Depende de la información y es acorde a la
legislación vigente también Depende de las
políticas del Hospital.
-2 años para datos
administrativos -5 años para
datos contables corrientes a partir de la
última declaración. -5 años para
información de expediente
clínico. -10 años datos declaratorios. -10 años para
material de banco de
sangre por contener
hemoderivados.
Poder judicial, Dirección de
área, Dirección General.
Basura municipal,
previo destrucción
que elimina el contenido, en
casos específicos se elabora acta
de destrucción o resguardo indefinido
Destrucción de información restringida y confidencial La destrucción busca que no sea posible recuperar los soportes que contienen datos con información confidencial y garantiza, en todo momento del proceso, el no acceso a esos datos por personas no autorizadas. Es irreversible: garantiza que no existen riesgos probables de que se recupere la información. Es segura y confidencial: los documentos se tratan con la misma seguridad con que se han mantenido durante su existencia. Los soportes no pueden ser reciclados. Se debe de documentar todas las destrucciones, para garantizar que cumple con la reglamentación vigente y que la persona encargada de la destrucción y la empresa quedan protegidas en caso de investigación o consulta. Se necesitara la siguiente documentación:
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
67 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Lista o resumen del tipo y cantidad de los documentos destruidos.
Prueba de la destrucción (por ejemplo, certificado) en el que conste: el método de la destrucción, la fecha de la destrucción y el personal que ha intervenido en ella.
Que medios contienen información confidencial.
Los documentos en papel.
Los soportes electrónicos, magnéticos u ópticos. Proceso de destrucción. A través de diferentes procesos, mecánicos o químicos, que hagan irreconocible e irrecuperable los datos impresos o grabados en los soportes: triturado, conversión en pulpa, borrado masivo, corte, aplastamiento, reciclaje químico, etc. Clases de material de carácter confidencial
Descripción
Papel, planos, documentos y dibujos
Ordenadores incluidos discos duros, programas
preinstalados, tarjetas lectoras de chip, componentes y otros
soportes físicos
CD y DVD
Información en soporte papel: 1. Existencia de máquinas trituradoras. 2. Comprobación del nivel de triturado aplicado según la confidencialidad del documento. Los documentos pueden ser clasificados con un nivel de seguridad según su nivel de confidencialidad. A mayor nivel de seguridad más pequeño debe de ser el tamaño de las tiras o las partículas. Si tenemos grandes volúmenes de residuos, como es el caso por ejemplo de destructoras de alta capacidad, es posible lograr un nivel de seguridad superior, tomando medidas adicionales como mezclar o compactar las tiras o partículas. 3. Importancia de la concienciación de usuarios: obligaciones y responsabilidades que tienen en relación al procedimiento. Información en soporte digital:
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
68 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
El reciclado de ordenadores viejos Es cada día más frecuente que en lugar de tirar los ordenadores viejos a la basura se intente hacer un reciclado de los mismos colocando los equipos en otras áreas. Los datos grabados en el disco duro deben eliminarse de forma absolutamente segura, de lo contrario, se dejan las puertas abiertas a la piratería informática o a los accesos no autorizados de información. Los soportes de datos siempre deben ser destruidos, es el único método probado efectivo al 100%
TIPO DE DESTRUCCIÓN DE LA INFORMACIÓN
Destrucción definitiva Reutilización del medio
Rayando un CD/DVD Formateo de bajo nivel
Uso de martillo para romper unidad usb
Reescribiendo los sectores
Desarmar disco duro, rayar la unidad de grabado
Cifrar los datos
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
69 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
70 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
NIVEL DE SEGURIDAD Y CONFIDENCIALIDAD Seguridad-.Proceso consistente en mantener un nivel aceptable de riesgo percibido. La seguridad de la información dentro del Hospital san Ángel Inn Universidad recae en la identificación de las vulnerabilidades que la información puede llegar a tener desde su creación, manejo, canales de difusión, almacenamiento, transportación, acceso, esto con el fin de que las amenazas del entorno no exploten estas vulnerabilidades. Objetivos de la seguridad dentro del hospital:
Confidencialidad-. Se trata de una propiedad de la información que pretende garantizar el acceso sólo a las personas autorizadas. Cuando se produce información confidencial, los responsables de la información deciden quién o quiénes tienen derecho a acceder a la misma.
seguridad
Garantizar la confidencialidad
Integridad
disponibilidad
Autenticación
Autorización
Auditoria
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
71 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Integridad-. La información solo puede ser modificada por las personas autorizadas. Llevando un control de modificación.
Disponibilidad-. Las personas que tienen acceso a esta información puedan tener acceso siempre.
Autenticación y autorización-. Mecanismo que garantice mediante una contraseña o un escrito que la persona tiene derechos de visualización, modificación o eliminación de información.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
72 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Auditoria-. Proceso que nos ayude a identificar que ocurrió en algún momento en concreto.
SEGURIDAD FISICA Y AMBIENTAL. Seguridad física-. Con la finalidad de impedir el acceso no autorizado a las instalaciones de la organización.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
73 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Uso de cámaras de vigilancia/personal de seguridad /registro de acceso El Servicio de Vigilancia es el encargado del control de acceso de todas las personas al edificio. Este servicio es el encargado de colocar los guardias en lugares estratégicos para cumplir con sus objetivos y controlar el acceso del personal. A cualquier personal ajeno a la planta se le solicitará completar un formulario de datos personales, los motivos de la visita, hora de ingreso y de egreso, etc.
Uso de gafetes El uso de credenciales de identificación es uno de los puntos más importantes del sistema de seguridad, a fin de poder efectuar un control eficaz del ingreso y egreso del personal a los distintos sectores de la empresa.
Seguridad ambiental
registro de acceso
uso de gafetes
uso de camaras
personal de
seguridad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
74 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Seguridad en los equipos: A fin de impedir la pérdida, daño o robo de la información.
17. POLÍTICAS DE ACCESO A SITE OBJETIVO Definir las directrices para el control de acceso de empleados y externos al SITE, TRS y almacenes de TI. ALCANCE. El presente documento es aplicable al control de acceso al SITE, TRS de planta baja, pisos del 1 al 10, almacenes del piso 8,9 y 10. Tanto para empleados como personal externo. RESPONSABILIDAD DE TI
Es responsabilidad del personal de TI mantener ordenado el cableado tanto de redes como eléctrico.
Seguridad en equipos
Mantenimientos preventivos/
correctivos
Respaldos de información
Uso de contraseñas
seguras
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
75 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
El site y los TRS deben de permaneces limpios y libres de objetos que obstaculicen las actividades dentro de ellos.
El SITE y los TRS permanecerán bajo llave en todo momento.
EL SITE y los TRS no pueden ser utilizados como bodegas y contener materiales inflamable o peligroso.
Los equipos de cómputo y comunicación que se encuentran dentro del site y TRS deben contar con protección eléctrica que garantice su funcionalidad en picos de voltaje y/o fallas de energía eléctrica.
La iluminación dentro del SITE y TRS debe de ser adecuada para poder visualizar y distinguir los equipos y cableados.
Las llaves de acceso al SITE y TRS estarán bajo resguardo en las oficinas del TI.
Debe de existir dos juegos de llaves del SITE y de los TRS almacenadas en lugares distintos. El juego de llaves principal y el de respaldo.
El acceso al SITE y TRS por personas externas tiene que ser autorizada y supervisada por personal de TI. Se tiene que realizar el registro indicando nombre, procedencia, fecha, hora y el motivo de la visita en la bitácora de visitantes.
No se puede ingresar con alimentos o con cualquier tipo de bebida.
Al finalizar cualquier trabajo en el SITE, TRS o almacenes, deberá asegurarse que los cables estén bien instalados y ordenados, dentro de sus gabinetes, los equipos funcionando y acomodados de forma correcta.
Es responsabilidad del personal de TI remover desechos y cajas vacías antes de salir del SITE, TRS y almacenes.
CONDICIONES DE ACCESO AL SITE. El área de TI se reserva el derecho de admisión al SITE, de su personal, clientes, subcontratistas y visitantes. Está prohibida la entrada de personas bajo las siguientes condiciones:
Portando armas de fuego, cuchillos o similares.
Bajo estado de embriaguez o consumiendo bebidas alcohólicas.
Bajo el efecto de cualquier droga o sustancia alucinógena.
Portando cámaras fotográficas y filmadoras.
Con vestimenta inapropiada (pantalones cortos, camisas sin mangas, chancletas).
Fumando.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
76 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
77 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
18. MANTENIMIENTOS PREVENTIVOS/CORRECTIVOS
El mantenimiento preventivo es el destinado a la conservación de equipos o
instalaciones mediante realización de revisión y reparación que garanticen su buen
funcionamiento y fiabilidad. El mantenimiento preventivo se realiza en equipos en
condiciones de funcionamiento, por oposición al mantenimiento correctivo que repara o
pone en condiciones de funcionamiento aquellos que dejaron de funcionar o están
dañados.
El primer objetivo del mantenimiento es evitar o mitigar las consecuencias de los fallos del
equipo, logrando prevenir las incidencias antes de que estas ocurran. Las tareas de
mantenimiento preventivo pueden incluir acciones como cambio de piezas desgastadas,
cambios de aceites y lubricantes, etc. El mantenimiento preventivo debe evitar los fallos
en el equipo antes de que estos ocurran. VER PLAN DE MANTENIMIENTO DE
EQUIPOS DEL ÁREA DE TI
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
78 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
79 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
80 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Uso de contraseñas Una contraseña (password) en internet, o en cualquier sistema computacional, sirve para autentificar el usuario, o sea, es utilizada en un proceso de verificación de la identidad del usuario, asegurando que este es realmente quien dice ser. Todos los equipos dentro del hospital tienen contraseñas personalizadas.
Respaldos de información El respaldo de información es la copia de los datos importantes de un dispositivo primario en uno ó varios dispositivos secundarios, ello para que en caso de que el primer dispositivo sufra una avería electromecánica ó un error en su estructura lógica, sea posible contar con la mayor parte de la información necesaria para continuar con las actividades rutinarias y evitar pérdida generalizada de datos.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
81 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Niveles de confidencialidad Nivel Básico Nivel medio Nivel Alto
RESPONSABLE DE SEGURIDAD
El responsable de seguridad es el encargado de coordinar y controlar las medidas del documento.
El responsable de seguridad es el encargado de la creación del documento así como el área de TI mediante candados en los equipos de almacenamiento y respaldos.
CONTROL DE ACCESO Relación actualizada de usuarios y accesos autorizados. Control de accesos permitidos a cada usuario según las funciones asignadas. Mecanismos que eviten el acceso a datos o recursos con derechos distintos de los autorizados. Concesión de permisos de acceso sólo por personal autorizado. Mismas condiciones para personal ajeno con acceso a los recursos de datos.
Control de acceso físico a los locales donde se encuentren ubicados los sistemas de información.
Registro de accesos: usuario, hora, fichero, tipo de acceso, autorizado o denegado. No es necesario este registro si el responsable del fichero es una persona física y es el único usuario. Control de accesos autorizados. Identificación accesos para documentos accesibles por múltiples usuarios
IDENTIFICACIÓN Y AUTENTICACIÓN
Procedimiento de asignación y distribución de contraseñas
Procedimiento de asignación y distribución de contraseñas, encriptación de información.
GESTIÓN DE SOPORTES Identificación del tipo de información que contienen, o sistema de etiquetado. Acceso restringido al lugar de almacenamiento.
Cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).
COPIAS DE RESPALDO Copia de respaldo semanal. Procedimientos de generación de copias de respaldo y recuperación de datos. Verificación
Copia de respaldo y procedimientos de recuperación en lugar diferente del que se encuentren
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
82 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
semestral de los procedimientos. Reconstrucción de los datos a partir de la última copia. Grabación manual en su caso, si existe documentación que lo permita. Pruebas con datos reales. Copia de seguridad y aplicación del nivel de seguridad correspondiente.
los equipos.
ALMACENAMIENTO Disco duros con cifrado de información
COPIA O REPRODUCCIÓN
Sólo puede realizarse por los usuarios autorizados. Destrucción de copias desechadas
TELECOMUNICACIONES El responsable de la información debe de garantizar que la información es enviada vía correo a las personas correspondientes, no se permite el uso de memorias portátiles.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
83 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
84 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Responsabilidades. POLÍTICA DE INTERCAMBIO DE INFORMACIÓN Normas dirigidas a: TI TI asegurará la protección de la información en el momento de ser transferida o intercambiada con otras áreas y establecerá los procedimientos y controles necesarios para el intercambio de información; así mismo, se establecerán acuerdos de Confidencialidad y/o de Intercambio de Información con las terceras partes con quienes se realice dicho intercambio. El área de ti debe garantizar todas las medias necesarias para proteger la información, tales medidas como:
Manejo de antivirus.
Respaldos de información de los equipos pc, portátiles y sesiones virtuales.
Bloqueos de seguridad.
Monitoreo de equipos de cómputo.
Garantizar el funcionamiento de candados de seguridad.
Bloquear el uso de quemadores.
Garantizar el escaneo de memorias por parte del antivirus.
Cifrar todas las unidades usb que el personal requiera usar.
Cifrar los discos duros de los equipos pc y portátiles.
Atender los avisos de actualizaciones de los sistemas operativos.
Garantizar el bloqueo de equipos telefónicos que no tienen permitido realizar llamadas al exterior.
Garantizar el bloqueo de correos externos como Gmail, Hotmail, etc.
Normas dirigidas a: Usuarios en general
Debe autorizar o rechazar el intercambio de información de su responsabilidad.
Debe de cumplir con lo establecido en esta política.
Los usuarios con acceso a información electrónica deben de firmar un acuerdo de confidencialidad donde se comprometen a no divulgar la información entregada por el hospital.
Toda información enviada bajo correo electrónico queda bajo responsabilidad del emisor y receptor.
La información enviada vía correo debe ser encriptada para proteger el contenido de la información.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
85 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Los usuarios que requieran acceso vía VPN a la información del hospital deberán firmar el formato de acuerdo de la confidencialidad de la información. Quedando como hincapié que una vez que el usuario tenga acceso a la información este es responsable de su uso.
No está permitido las conexiones tipo TeamViewer. Este tipo de acceso requiere autorización previa. Las conexiones de este tipo no pueden durar más de un 1 días. Pasado este tiempo el personal que autoriza el acceso al equipo debe cambiar la contraseña de acceso.
No dejar información crítica o sensible en las instalaciones de impresión, como impresoras, copiadoras y faxes, ya que estas pueden ser acezadas por personal no autorizado.
No está permitido el reenvío automático de correos electrónicos a una dirección de correo externa.
Las memorias USB podrán ser utilizadas siempre y cuando su capacidad este protegida por bitlocker.
Es responsabilidad de cada área el identificar el tipo de información que maneja y el trato que requiere por parta del área de TI.
El personal que tenga asignado algún equipo de cómputo tiene que bloquear el equipo cuando no se encuentre frente a este.
El personal que requiera acceso a otro equipo de cómputo que no sea el que se le asigno o de otra área deberá firmar el formato correspondiente.
El personal que requiera acceso a los respaldos resguardados por TI deberá llenar el formato de acceso a la información.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
86 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
19. POLÍTICAS DE RESPALDOS
PROPÓSITO El presente documento tiene como objetivo dar a conocer las políticas de Seguridad que deberán observar los usuarios de servicios de tecnologías de información, para proteger adecuadamente los activos e información del Hospital. Proporcionando los medios de respaldo adecuados para asegurar que toda la información esencial y el software, se pueda recuperar después de una falla. La Seguridad Informática, es una función en la que se deben evaluar y administrar los riesgos, basándose en políticas y estándares que cubran las necesidades en materia de seguridad. Para Mantener la Integridad y confiabilidad de la información: Se cuenta con licenciamiento de Antivirus y equipos para el bloqueo de intrusos y tráfico, licencias de sistemas operativos. RESPALDO DE INFORMACIÓN Asegurar que la información generada por las diferentes áreas administrativas y clínicas que cuenten con equipos pc o laptop y/o se conecten mediante una terminal wyse al servidor de archivos, no se pierda y esté disponible en caso de desastre, o cualquier contingencia, como daño en los discos duros, o eliminación accidental de la Información o bien un caso de desastre físico. NORMAS DE OPERACIÓN
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
87 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
El respaldo de información se efectuará en un disco duro en red de capacidad de 4 TB.
Los respaldos del servidor de archivos se realizaran mensualmente los últimos días del mes. Servidor 10.40.6.23.
• Los Respaldos de los servidores se realizan en el site, los cuales se realizan por mes. En el caso de que no se puedan hacer los respaldos por algún problema con el Servidor (Virus o falla) se procede a realizarlos al día siguiente.
PLAN DE RECUPERACION. Es importante definir los procedimientos y planes de acción para el caso de una posible falla, o desastre en el área de TI Cuando ocurra una contingencia, es esencial que se conozca al detalle el motivo que la originó y el daño producido, lo que permitirá recuperar en el menor tiempo posible el proceso perdido. Las actividades a realizar en un Plan de Recuperación se pueden clasificar en Tres etapas: • Actividades Previas a la falla o desastre. • Actividades Durante la falla o Desastre. • Actividades Después de la falla o Desastre. Actividades Previas a las Fallas o Desastre Son todas las actividades d planeamiento, preparación, entrenamiento y ejecución de las actividades de resguardo de los activos de la información, que nos aseguren un proceso de Recuperación con el menor costo posible. Se debe de establecer los procedimientos relativos a:
Equipos de Computo
Obtención y almacenamiento de los Respaldos de Información.
Políticas (Normas y Procedimientos de respaldos). Equipos de Cómputo.
Es necesario realizar un inventario actualizado de los equipos (equipo entregado al usuario) especificando su contenido (software y licencias que usa).
Obtención y almacenamiento de los Respaldos de Información. Se deberán establecer los procedimientos para la obtención de copias de Seguridad de todos
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
88 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
los elementos de software necesarios para asegurar la correcta ejecución del Software y/o Sistemas operativos.
Para lo cual se debe contar con:
Respaldos del Sistema Operativos.
Respaldos del Software Base (SAP, VHS, PAQUETERIA).
Respaldos de lista de correos con su respetiva contraseña.
Respaldo de archivos del servidor 10.40.6.23
Respaldos de equipos pc y portátiles. Se debe establecer los procedimientos, normas, y determinación de responsabilidades, debiéndose incluir:
Periodicidad de cada Tipo de respaldo.
Almacenamiento de los respaldos en condiciones ambientales óptimas, dependiendo del medio magnético empleado.
Reemplazo de los respaldos, en forma periódica, antes que el medio magnético de soporte se pueda deteriorar (reciclaje).
Pruebas periódicas de los respaldos (Restore), verificando su funcionalidad. Políticas de Procedimiento:
Todas las carpetas de los servidores deberán respaldarse periódicamente.
Todos los respaldos deberán conservarse conformé lo acordado con las áreas usuarias correspondientes.
Los respaldos se harán de acuerdo al documento de políticas de manejo y control de respaldo.
Todos los equipos centrales, bases de datos y sistemas informáticos deberán contar con planes de contingencia.
La información de cada sistema debe ser respaldada regularmente sobre un medio de almacenamiento como CD, DVD, etc. Todas las copias de información crítica deben ser almacenadas en un área adecuada y con control de acceso.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
89 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Las copias de respaldo se guardaran únicamente con el objetivo de restaurar el sistema luego de un virus informático, defectos en los discos de almacenamiento, problemas de los servidores o computadores, materialización de amenazas, catástrofes y por requerimiento legal. Un plan de emergencia debe ser desarrollado para todas las aplicaciones que manejen información crítica; el dueño de la información debe asegurar que el plan es adecuado, frecuentemente actualizado y periódicamente probado y revisado. Deben existir al menos una copia de la información de los discos de red, la cual deberá permanecer fuera de las instalaciones del hospital. Semanalmente el personal de TI, verificarán la correcta ejecución de los procesos de backup. El Área de TI debe mantener un inventario actualizado de las copias de respaldo de la información y los aplicativos o sistemas. Los medios que vayan a ser eliminados deben surtir un proceso de borrado seguro y posteriormente serán eliminados o destruidos de forma adecuada. La depuración de la información en correos y /o carpetas del disco es responsabilidad de los usuarios propietarios de dicha información. Los respaldos de información serán solicitados por el jefe del área correspondiente. No se puede solicitar información de otras áreas sin previa autorización. Responsabilidad Actividad Descripción
Usuarios Definir archivos a respaldar
Define acorde con TI, la periodicidad y la información que deberá respaldarse.
Jefe de TI
Plan de respaldos Creación de calendario anual de respaldos por área
divulgación Se divulga vía correo el calendario de respaldos.
Usuarios Acceso Se da acceso a personal de TI al equipo a respaldar.
Analista de Ti Realización Respalda la información.
verificación Verifica que el respaldo haya sido exitoso.
Usuarios/Analista de TI
Documentación Se firma documento que respalda la actividad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
90 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Responsabilidades generales del área de TI Será responsabilidad del Departamento de Tecnología de la Información la realización periódica de los respaldos de la información de cada uno de los usuarios del hospital. Esta actividad se tiene que programar bajo un calendario de actividades. La información a respaldar de forma obligatorio es la siguiente:
Carpeta de MIS DOCUMENTOS, DESCARGAS, ESCRITORIO.
Accesos a unidades de red, favoritos.
Configuración de correos (archivos *.pst y *.nk2) Toda información que no se encuentre dentro de estas y no sea especificada por el usuario no será respalda por el área de TI. Archivos de música, imágenes, información personal, será borrada con el reporte correspondiente. La información respaldada será almacenada en un medio físico previamente identificada por departamentos y usuarios. El medio de almacenamiento destinado para el resguardo de los respaldos tiene que estar protegido contra problemas eléctricos y dentro del SITE de TI. Es responsabilidad del personal de TI vigilar el óptimo funcionamiento del medio utilizado para resguardar los respaldos de información.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
91 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
92 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
20. POLÍTICAS DE ACCESO AL SISTEMA: EXPEDIENTE CLINICO ELECTRÓNICO
Propósito.
Dar a conocer las políticas generales para el uso de las cuentas (usuario - contraseña) de acceso al sistema de Expediente Clínico - VHS.
Alcance.
El alcance de estas políticas incluye a todo usuario del sistema que tenga una previa autorización por parte de Capital Humano (Doctores de staff) y /o autorización del personal de Atención a Médicos (doctores externos) así como los administradores del sistema.
Definición de expediente Clinico electrónico.
El expediente clínico electrónico, es una herramienta que contiene el conjunto de información ordenada y detallada que se recopila cronológicamente de todos los aspectos relativos a la salud de un paciente y su familia en un periodo determinado de su vida; representa una base de conocimientos que nos ayuda a conocer las condiciones de salud, los actos médicos y los diferentes procedimientos ejecutados por el equipo médico a lo largo de un proceso asistencial.
Contiene una relación de información sobre la salud de una persona, la cual puede ser gestionada consultada, compartida por el personal autorizado dentro del hospital.
El expediente Clínico electrónico tiene los siguientes puntos trascendentales:
1) Atención y seguimiento: El que conduce al médico a la apertura de un Expediente Clínico y continuarlo a lo largo del tiempo, es el requerimiento de una prestación de servicios y por lo tanto, se convierte en el instrumento básico de la buena atención médica, porque sin él, es imposible que el médico pueda tener, con el paso del tiempo una visión completa y global del paciente para prestar el servicio requerido.
2) Evaluación de la calidad asistencial: El Expediente Clínico es el documento en donde se puede evaluar la actuación del médico, personal paramédico y permite establecer el nivel de calidad prestada.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
93 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
4) Administrativa: Los expedientes clínicos son el elemento fundamental para el control y gestión de los servicios médicos de las instituciones de salud.
5) Desde el contexto médico–legal: El Expediente Clínico se encuentra regido por diversas normas jurídicas y su inadecuado manejo puede reflejar:
A. Mal praxis clínico- asistencial, por incumplimiento de la normativa legal.
B. Defecto de gestión de los servicios clínicos.
C. Riesgo de potencial responsabilidad por perjuicios al paciente o a la institución.
D. Riesgo médico legal objetivo, por carencia del elemento de prueba fundamental en reclamaciones por mal praxis médica.
E. Bases Jurídicas Médico-legal: Existe obligación legal de efectuar por normativas vigentes: Constitución Política de los Estados Unidos Mexicanos, Ley General de Salud, Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, Reglamento de la Ley General de Salud en Materia de Prestación de Servicios de Atención Médica, Norma Oficial Mexicana NOM-004-SSA3-2012 del Expediente Clínico y Derechos de los Pacientes. Además de ser elemento de prueba en los casos de responsabilidad médica profesional, tiene un extraordinario valor jurídico, al convertirse por orden judicial en prueba material, constituye un documento médico-legal fundamental de primer orden. En tales circunstancias los expedientes clínicos son, el elemento que permite dar testimonio documental de ratificación y veracidad de declaraciones sobre actos clínicos y conducta profesional.
F. Es un Instrumento de dictamen pericial: elemento clave en la elaboración de informes médico-legales, certificaciones de nacimiento o de defunción, etc.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
94 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
CARACTERÍSTICAS DEL EXPEDIENTE CLÍNICO
El Expediente Clínico es propiedad de la Institución. Por su esencia el Expediente Clínico debe ser: 1. Confidencial Todos los datos de un paciente son considerados confidenciales, por lo tanto, se rigen por normas específicas, para el acceso a ellos. 2. Seguro Sólo el personal en Salud autorizado, tendrá acceso al Expediente Clínico. 3. Disponible Debe preservarse la confidencialidad de los datos del expediente, éste debe ser un documento disponible en el momento en que se requiera por el personal autorizado, de acuerdo a las normas Institucionales. 4. Intransferible El Expediente Clínico debe ser único para cada paciente, debido a la importancia de dar seguimiento en el proceso salud–enfermedad, por lo tanto, éste debe contener los datos necesarios, para identificar claramente al paciente. 5. Legible Las anotaciones en el Expediente Clínico tienen que ser con letra legible y clara, evitando abreviaturas y símbolos.
Veraz El Expediente Clínico debe caracterizarse por ser un documento veraz y fidedigno porque, en él se concentra la atención que se otorgó al paciente. 7. Exactitud El Expediente Clínico debe ser preciso y claro, ya que contiene información relacionada con el paciente. 8. Con Rigor Técnico Los datos contenidos deben ser realizados con criterios objetivos y científicos, debiendo ser respetuosos para el propio enfermo, otros profesionales o bien para la Institución. 9. Completo Debe contener datos necesarios sobre la patología del paciente, reflejar todas las fases médico–legales que comprenden todo acto clínico-asistencial. Así mismo, debe contener todos los documentos integrantes del Expediente Clínico de acuerdo a la Norma Oficial Mexicana NOM-004-SSA3-2012, Del Expediente Clínico. 10. Identidad de sus usuarios Todo facultativo o personal de salud que intervenga en la asistencia del paciente y en el manejo médico, debe anotar su participación con nombre completo, firma autógrafa y Cédula Profesional.
Información que integra el expediente electrónico.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
95 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Principales componentes del expediente electrónico.
Servidor de aplicación: Equipo que almacena la información y soporta la operación de la aplicación. Servidor virtual. Los usuarios no tienen acceso a este equipo.
Base de datos-. Guarda en forma digital y segura toda la información con la cual interactúa el sistema, como son los datos del paciente, sus consultas y su seguimiento, historia clínica, estudios, etc. Debe contar con un plan de respaldo y manejo de contingencias para asegurar la continuidad del servicio e integridad de la información. También debe contar con políticas de control de acceso y mecanismos de seguridad informática que garanticen la confidencialidad de la información. Acceso restringido.
Interface de usuario: Sistema con el que interactúan médicos y enfermeras.
Hardware: Equipo de cómputo: computadoras de escritorio y/o wyse desde donde se ingresa al VHS.
Periféricos: Se cuenta con impresoras en las centrales para la impresión de formatos y documentos.
Conectividad: Las estaciones de trabajo se comunican por medio de redes de datos (LAN) .
VHS
Tratamientos
Notas quirurgicas
notas ambulatorias
examenes de laboratorio
interconsultas
notas hospitalarias
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
96 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Esquema del expediente electrónico.
Ventajas del expediente electrónico.
Política general.
Alta de usuarios en el expediente electrónico.
VHS
uniforme, legible y facil de consultar
la información ocupa poco
espcia ya que se consentra
en un servidor
alta accesibilidad a la informacón
actualización rapida y facil
siempre en linea
toda la informción en su solo lugar
información confidencial
calidad en la prestación del
servicio
incremento en la seguridad del paciente
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
97 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Responsabilidades de capital humano y/o atención a médicos.
Es responsabilidad del personal de atención a médicos y capital humano la mínima verificación de los datos y la documentación que acredite al médico a dar de alta.
El acceso al expediente electrónico se denotará por parte de Capital Humano y/o Atención a Médicos, mediante una llamada telefónica y sustentada siempre por un correo electrónico, Donde se indicara:
El nombre completo, cedulas, especialidades, el tipo de acceso al sistema (acceso definitivo o temporal), así como el nombre completo y área del solicitante; si falta alguno de estos datos no se procederá a ejecutar el alta del usuario. El solicitante siempre tendrá que mostrar alguna identificación que acredite su nombre, cedula y profesión.
El personal de capital humano y atención a clientes ayudaran en el proceso de alta, bajas en un horario de lunes a viernes de 9 a 18 horas y sábados de 9 a 13 horas, quedando bajo su responsabilidad la asignación de personal de su área para la atención en horas que no son de oficina.
Responsabilidades del usuario final.
El usuario del VHS al finalizar el proceso de alta está obligado a firmar el formato de confidencialidad del expediente electrónico. El cual a grandes rasgos indica:
La clave es personal e intransferible. (El usuario y clave no pueden ser usadas por terceras personas, ya que al tratarse de un documento legal, el mal uso, la divulgación de información recae en la persona firmante de este documento). El mal manejo del usuario asignado será reportado inmediatamente a la dirección general del Hospital San Ángel Inn Universidad S.A de C.V. De acuerdo a la LEY FEDERAL DE PROTECCIÓN DE DATOS PERSONALES EN POSESIÓN DE LOS PARTICULARES, el usuario no puede divulgar por ningún medio dato personal sensible a personas ajenas. Artículo 3, fracción VI Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical,
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
98 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
opiniones políticas, preferencia sexual. Artículo 9.- Tratándose de datos personales sensibles, el responsable deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, a través de su firma autógrafa, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca. No podrán crearse bases de datos que contengan datos personales sensibles, sin que se justifique la creación de las mismas para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el sujeto regulado. Artículo 10.- No será necesario el consentimiento para el tratamiento de los datos personales cuando: I. Esté previsto en una Ley; II. Los datos figuren en fuentes de acceso público; III. Los datos personales se sometan a un procedimiento previo de disociación; IV. Tenga el propósito de cumplir obligaciones derivadas de una relación jurídica entre el titular y el responsable; V. Exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes; VI. Sean indispensables para la atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la Ley General de Salud y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente, o VII. Se dicte resolución de autoridad competente. Artículo 13.- El tratamiento de datos personales será el que resulte necesario, adecuado y relevante en relación con las finalidades previstas en el aviso de privacidad. En particular para datos personales sensibles, el responsable deberá realizar esfuerzos razonables para limitar el periodo de tratamiento de los mismos a efecto de que sea el mínimo indispensable. De acuerdo a LA CONSTITUCIÓN POLÍTICA DE LOS ESTADOS UNIDOS MEXICANOS Artículo 6, párrafo II La información que se refiere a la vida privada y los datos personales será protegida en los términos y con las excepciones que fijen las leyes. Artículo 16, párrafo II Toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de los mismos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
99 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Para el cambio y/o recordatorio de contraseñas es obligatorio el mostrar alguna identificación como medida de seguridad por parte del usuario al VHS y de esta forma verificar que la persona tiene permisos sobre la cuenta así como el llenado de formato de solicitud de cambio de contraseña.
El uso de la cuenta de usuario es responsabilidad de la persona a la que está asignada. La cuenta es para uso personal e intransferible. El mal uso por parte de terceras personas es responsabilidad de la persona acreditada para el uso de dicha cuenta. Al ser detectado el mal uso por el propio usuario, responsable de área el caso se turnara a la dirección general.
La cuenta de usuario se protegerá mediante una contraseña proporcionada por el usuario final. La contraseña asociada a la cuenta de usuario, deberá seguir los criterios para la Construcción de Contraseñas Seguras descrito más abajo.
Las cuentas de usuario (usuario y contraseña) son sensibles a mayúsculas y minúsculas, es decir que estas deben ser tecleadas como se dieron de alta.
No compartir la cuenta de usuario con otras personas: compañeros de trabajo, etc.
Si se detecta o sospecha que las actividades de una cuenta de usuario pueden comprometer la integridad y seguridad de la información, el acceso a dicha cuenta será suspendido temporalmente y será reactivada sólo después de haber tomado las medidas necesarias a consideración de atención a médicos o capital humano.
Responsabilidades de TI.
Es responsabilidad del personal de TI el acceso al Expediente Electrónico en todos los equipos del hospital que estén delineados para este uso. Centrales de enfermería, terapias, descanso de médicos, recuperación, quirófanos.
Es responsabilidad de personal e TI garantizar el no acceso al expediente electrónico desde internet o redes ajenas al hospital.
El Personal de TI realizara los procesos de altas, bajas, cambios de claves de lunes a viernes de 7:00 a 21:30 horas y de sábados a domingos de 7:00 a 15: 00 horas. Fuera de estos horarios se fijara una guardia no presencial que dará acceso temporal de 2 días. Esto vía remota. Para lo cual se necesita comunicación con el usuario que requiere el acceso vía telefónica.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
100 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Si el personal de TI detecta que los datos de la identificación no coinciden con los proporcionados por capital humano y/o atención a médicos se solicitara la asistencia en sitio de estas dos instancias para determinar el acceso al sistema. En caso de no contar con la asistencia de estas dos áreas se dará acceso temporal basado en la identificación proporcionada.
Es obligación del personal de TI indicar mediante un correo electrónico el estatus final del alta o el motivo de la no realización de esta. Si el alta es exitosa se mandara una pantalla (imagen) indicando todos los datos con los que se da acceso al usuario. Al finalizar el proceso de alta este correo será impreso por TI y firmado por la persona que solicita el alta.
Se integrara un expediente de la siguiente forma:
Impresión del correo firmada por parte de capital humano y/o atención a médicos donde solicitan alta o baja del usuario, formato de alta o cambio de contraseña, todo esto engrapado.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
101 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
102 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Baja de usuarios en el expediente electrónico.
Responsabilidades de capital humano y/o atención a médicos.
La baja al expediente electrónico se denotará por parte de Capital Humano y/o Atención a Médicos, mediante una llamada telefónica y sustentada siempre por un correo electrónico, Donde se indicara:
El nombre completo, cedulas, especialidades, si se trata de una baja temporal o definitiva, así como el nombre completo y área de quien lo solicita; si falta alguno de estos datos no se procederá a ejecutar la baja del usuario.
Es responsabilidad de capital humano y atención a cliente indicar al usuario el motivo de la baja.
Responsabilidades de TI.
Al finalizar el proceso de baja personal de TI imprimirá el correo donde se solicita la baja la cual será firmada por el área que la solicita, con nombre y firma.
Se integrara un expediente de la siguiente forma:
Impresión del correo firmada por parte de capital humano y/o atención a médicos donde solicitan alta o baja del usuario, formato de alta o cambio de contraseña, todo esto engrapado.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
103 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
104 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Tipos de Cuentas de Usuario
Para efectos de las presentes políticas, se definen dos tipos de cuentas de usuario:
1. Cuenta de Usuario de Sistema: Todas aquellas cuentas que sean utilizadas por los usuarios para acceder al sistema. Estas cuentas permiten el acceso para consulta, modificación, actualización o eliminación de información, y se encuentran reguladas por un formato de confidencialidad.
2. Cuenta de Administrador: corresponde a la cuenta de usuario que permite al administrador del sistema realizar tareas específicas de usuario a nivel administración, por ejemplo: agregar/modificar/eliminar cuentas de usuario del sistema. Los miembros de TI deben firma el formato e confidencialidad.
Creación de contraseñas seguras.
1. Todas las contraseñas para acceso al sistema con carácter administrativo deberán ser cambiadas al menos cada 6 meses.
2. El uso de contraseñas de carácter administrativo son exclusivas del personal de TI.
3. Para el cambio de contraseña, el usuario tiene que presentar alguna identificación que acredite ser el responsable de dicha cuenta.
4. Todas las contraseñas deberán ser tratadas con carácter confidencial. 5. Las contraseñas de ninguna manera podrán ser transmitidas mediante servicios
de mensajería electrónica instantánea ni vía telefónica. 6. Se evitará mencionar y en la medida de lo posible, teclear contraseñas en frente
de otros. 7. Se evitará el revelar contraseñas en cuestionarios, reportes o formas. 8. No se almacenarán las contraseñas en libretas, agendas, post-it, hojas sueltas,
etc. En los servicios. No se almacenarán las contraseñas por parte de TI, en sistemas electrónicos personales (asistentes electrónicos personales, memorias USB, teléfonos celulares, agendas electrónicas, etc).
9. Si alguna contraseña es detectada y catalogada como no segura, deberá darse aviso al(los) usuario(s) para efectuar un cambio inmediato en dicha contraseña.
Criterios en la construcción de contraseñas seguras
Una contraseña segura deberá cumplir con las siguientes características:
La longitud debe ser al menos de 6 y máximo 12 caracteres.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
105 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Contener caracteres tanto en mayúsculas como en minúsculas. Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +, etc. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc. No debe ser basada en información personal, nombres de familia, etc. Procurar construir contraseñas que sean fáciles de deducir. Algunos ejemplos de contraseñas NO seguras por si solas:
o Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc
o Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.
o Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.
o Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.
21. POLITICAS DE CONTRASEÑAS SEGURAS
Para gestionar correctamente la seguridad de las contraseñas del Hospital San Ángel Inn Universidad se recomienda a los usuarios tener en cuenta las siguientes pautas para la creación y establecimiento de contraseñas seguras:
Una contraseña segura deberá cumplir con las siguientes características:
La longitud debe ser al menos de 6 y máximo 12 caracteres. Contener caracteres tanto en mayúsculas como en minúsculas. Puede tener dígitos y caracteres especiales como _, -, /, *, $, ¡, ¿, =, +, etc. No debe ser una palabra por sí sola, en ningún lenguaje, dialecto, jerga, etc. No debe ser basada en información personal, nombres de familia, etc. Procurar construir contraseñas que sean fáciles de deducir. Algunos ejemplos de contraseñas NO seguras por si solas:
o Nombres de familiares, mascotas, amigos, compañeros de trabajo, personajes, etc
o Cualquier palabra de cualquier diccionario, términos, sitios, compañías, hardware, software, etc.
o Cumpleaños, aniversarios, información personal, teléfonos, códigos postales, etc.
o Patrones como 1234?, aaabbb, qwerty, zyxwvuts, etc.
GENERALIDADES
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
106 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Se debe evitar utilizar la misma contraseña siempre en todos los sistemas o servicios.
No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento.
Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”).
No repetir los mismos caracteres en la misma contraseña. (ej.: “111222”).
Hay que evitar también utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.
No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.
No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos.
No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo.
No enviar nunca la contraseña por correo electrónico o chat.
Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso.
No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.
No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público.
Las contraseñas deben cambiarse cada 6 meses en los equipos pc/laptop
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
107 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
108 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
22. FORMATOS USADOS POR EL DEPARTAMENTO DE TECNOLOGIAS DE LA INFORMACIÓN
Tecnologías de la Información
Ciudad de México., a _____ del 2016
Solicitud equipo, software y/o accesorio
Por medio de la presente solicito el siguiente equipo / software / accesorio.
Nombre Completo
Área
Puesto
Número Empleado
Detalle del producto(s)
Justificación
Políticas
1. Dicho accesorio, equipo o software es propiedad de la compañía Centro Hospitalario Universidad S.A de C.V. quien proporcionó esta herramienta de trabajo para el desempeño del empleado arriba mencionado en las labores de acuerdo a su puesto en la compañía.
2. En caso de derramamiento de líquidos, daño físico, fallas por mal uso, el usuario de este accesorio, equipo o software se compromete a pagar la reparación o compra del mismo.
3. En caso de dejar de prestar mis servicios, es mi responsabilidad devolver a la empresa el
accesorio, equipo o software que me han sido entregados. Por otra parte, en caso de
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
109 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
rebasar los montos de consumo establecidos y no realizar una justificación de los mismos, la empresa podrá aplicar los descuentos correspondientes vía nómina.
Definición de Software Todo programa y/o sistema informático que se instala en los servidores principales del hospital y/o en la computadora personal del usuario final Definición de accesorios y equipo
ACCESORIOS EQUIPO
USB's PC
Cables Laptop
Mouse Proyectores
Teclados Impresoras
Pantalla Scanner Discos Duros
Externos Tableta
Control Remoto Switches
Lectores Externo No Break
Nombre y firma Jefe de área
Nombre y firma Director General
Nombre y firma del personal al que se le asignará el equipo
Recibe personal de Sistemas (Nombre y Firma)
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
110 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Tecnologías de la Información
Ciudad de México a _________
Solicitud de Cuenta de Correo
Por medio de la presente solicito sea creada la cuenta de correo para:
Nombre
Área
Puesto
Número Empleado
Tipo
Personalizada [email protected] Genérica [email protected]
Justificación
Políticas
1.1. Las cuentas de correos únicamente se configurarán en los equipos autorizados.
1.2. Solo se podrán configurar las cuentas de correo en PDA´s, Smartphone, tabletas o cualquier dispositivo inteligente a Directivos y Gerentes de Área, previa solicitud vía memorándum dirigida a la Dirección de Contraloría con el visto bueno de la Dirección a la que pertenezcan.
1.3. El estándar de la firma electrónica debe ser el mismo para todas las cuentas de correo electrónico y NO se agregará el título de la persona (Dr, Dra, Ing, Lic, CP. ).
1.4. Los usuarios deben de leer diariamente su correo y borrar aquellos mensajes obsoletos, para liberar espacio en su bandeja de entrada.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
111 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
1.5. Los usuarios deben redactar los correos electrónicos usando un lenguaje educado.
1.6. Está prohibido mandar o contestar cadenas de correo electrónico.
1.7. Está prohibido mandar o contestar correos electrónicos que sean mayores a 10MB.
1.8. El uso del correo electrónico proporcionado por Hospital San Ángel Inn Universidad es exclusivamente para enviar y recibir información de trabajo durante el horario de oficina. No se autoriza para uso personal.
1.9. Los correos son monitoreados confidencialmente sin previo aviso a solicitud por escrito del Director de área a la Dirección de Contraloría. Una vez autorizado se turnara al responsable de Sistemas.
1.10. En caso de mal uso del servicio de correo electrónico, éste se notificara a su jefe directo y se procederá al bloqueo de la cuenta para su investigación.
1.11. El área de Sistemas no garantiza la entrega de mensajes de correo a cuentas externas como Hotmail, Yahoo, Gmail, etc.
Solicita Vo.Bo
_____________________________ ______________________________
Nombre y firma del solicitante Nombre y firma del Director General
_____________________________ ______________________________
Nombre Completo y Firma TI Nombre Completo y Firma
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
112 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Tecnologías de la Información Ciudad de México., a ________
Solicitud de Baja de Cuenta de Correo
Por medio de la presente solicito se de baja la cuenta de correo:
Cuenta
Equipo donde reside la cuenta
Persona que ocupaba la cuenta
Borrar información existente
No Si
Motivo
Me doy por enterado (a) que una vez que la cuenta se da de baja no se podrá volver a utilizar y en el caso de solicitar borrado de información esta no podrá ser recuperada.
Solicita Vo.Bo
_____________________________ ______________________________ Nombre y Firma Dirección General
_____________________________ ______________________________ Entrega Sistemas Recibe de Conformidad
Nombre Completo y Firma Nombre Completo y Firma
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
113 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Tecnologías de la Información Ciudad de México., a ________
Solicitud de Acceso a la Red a equipos que no son propiedad del Hospital
(Teléfono celular, Laptop, tablet, etc)
Por medio de la presente solicito que el siguiente dispositivo le sea permitido el acceso a la red del hospital: red de invitados.
Nombre
Área
Puesto
Número Empleado
Equipo Propiedad de
Tipo de Equipo Teléfono Celular Tablet Laptop Otro: _______________________________
Requiere Internet: No Si
Justificación:
El acceso a internet queda restringido a las políticas definidas el documento “manual de políticas de TI”.
El perfil requerido para el acceso a internet será solicitado con el documento: “Universidad Perfil Internet.docx”
Solicita Vo.Bo
_____________________________ ______________________________ Nombre y firma Director General
_____________________________ _____________________________
Entrega Sistemas, nombre y firma Recibe de Conformidad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
114 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
Tecnologías de la Información
Ciudad de México., a ________
Solicitud de Clave de Usuario para SAP / VHS
* Número Empleado
* Nombre de Empleado * Área * Puesto * Turno SAP VHS ALTA BAJA
* CAMPOS OBLIGATORIOS, no se recibe formato sin requisitar completamente. __________________________________ __________________________________ ________________________ Nombre completo y Firma Nombre y firma del Director General Nombre y firma de contraloría
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
115 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014 -0006
Tecnologías de la Información
Ciudad de México, a _________
Carta de
Entrega de
equipo
Descripción del equipo
Marca
Modelo
Número de serie
Equipo Asignado a Préstamo o Permanente
Ubicación
Incluye
Accesorios
Maletín o Estuche
1. Dicho accesorio o equipo es propiedad de la compañía Hospital San Ángel Inn Universidad, quien proporcionó
esta herramienta de trabajo para el desempeño del empleado arriba mencionado en las labores de acuerdo a su
puesto en la compañía.
2. En caso de derramamiento de líquidos, daño físico, fallas por mal uso, el usuario de este equipo se compromete a
pagar la reparación o compra del mismo.
3-. Es responsabilidad del usuario final no introducir por ningún medio objeto como grapas, clips, etc. El usuario es
responsable del manejo de sus documentos libres de metales u otros objetos al introducirlos al equipo.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
116 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 C iudad de Mé xico . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -AM-09-014-0006
Definición de accesorios y equipo
ACCESORIOS EQUIPO
USB’s
PC
Cables
Laptop Mous
e Proyectores
Teclado Impresora
Monitor
Scanner
Discos Duros Externos
Tableta
Control Remoto Switches
_____________________________ _____________________________ Entrega Sistemas, nombre y firma Recibe de Conformidad
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
117 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
Tecnologías de la Información-TI Fecha de solicitud: ___________.En la Ciudad de México.
FORMATO DE ACCESO AL SITE Datos de la perdona que solicita acceso al SITE, TRS en pisos
Personas externas Nombre completo:…………………………………………………………………. Procedencia:……………………………………………………………………………
Personas Internas Nombre completo:………………………………………………………… Área:…………………………………………………………………………….. Puesto:…………………………………………………………………………… Núm. de empleado:……………………………………………………
Solicita Acceso a Actividad a Realizar Entrada Salida Observaciones al finalizar (llenado por TI) Fecha Hora Fecha Hora
…………………………………………. …………………………………………
Nombre y Firma del visitante Nombre y firma de TI El llenado de este formato es de carácter obligatorio sin este es imposible dar acceso a las área de TI. Queda prohibido en todo momento ingresar con alimentos y bebidas.
MANUAL DE PROCEDIMIENTOS
Dirección General
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnología de la Información
F. Elaboración
01/04/2014
F. Aplicación
01/04/2016
Versión:
01
Ref:
SQE/ MCI
Página:
118 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ci udad de México . Te l (55 ) 5623 6363 , L ic . San i ta r ia 13-A M-09-014 -0006
Tecnologías de la Información-TI FORMATO DE SOLICITUD DE INFORMACIÓN
Fecha de solicitud: ___________.En la Ciudad de México. DATOS DEL SOLICITANTE Nombre completo del solicitante………………………………………………………………………………………………………………………………………………………………………………………………..
Nombre A. Paterno A. Materno Puesto: ……………………………………………………… Numero de empleado: ………………………………. La información solicitada se encuentra en el equipo asignado al usuario y/o respaldo del mismo. SI ……….. NO …….. La persona que solicita acceso al equipo y/o respaldos pertenece a la misma área de la información solicitada. SI …….. NO ……. Datos solicitados (archivos, área) y/o nombre del equipo al que se quiere acceso ………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………………..
Nombre y firma del jefe/director/responsable/dirección general que a acredita el acceso al equipo /información perteneciente al área.
___________________________ Nombre y firma
________________________ _______________________ Nombre y firma del solicitante Nombre y firma de personal de TI
Tecnologías de la Información
Ciudad de México a ________________.
RESPONSIVA DE CLAVE USUARIO SAP
Por medio del presente entrego clave para uso del Sistema SAP, la cual es única, confidencial e intransferible, el uso inadecuado de la misma será de su absoluta responsabilidad y en caso de detectar anomalías deberá reportadas a las instancias correspondientes de inmediato. Es responsabilidad del usuario cambiar su clave trimestralmente o antes si así lo desea o haya detectado alguna anomalía. NOMBRE:
ÀREA:
PUESTO:
NUM. EMPLEADO:
USUARIO:
Autoriza Dirección de Área
Autoriza Entrega Dir. Contraloría
Recibe (Nombre y firma) Entrega (Nombre y firma)
M a n u a l d e P r o c e d i m i e n t o s
Dirección de Capital Humano
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnologías de la Información
Inicio de Implantación
01/04/2014
F. Modificación
01/04/2016
Versión:
02
Ref:
MCI / GLD
Página:
120 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ciudad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014-0006
Tecnologías de la Información
ACUERDO DE CONFIDENCIALIDAD PARA EL INGRESO AL EXPEDIENTE ELECTRONICO
Este acuerdo de confidencialidad entre en vigencia y se celebra el día ___________.en la Ciudad de México. Entre_________________________________________________ y el Hospital San Ángel Inn Universidad S.A de C.V.
Confidencialidad
El firmante reconoce que durante la relación laborar con Hospital San Ángel Inn Universidad S.A de C.V. recibirá valiosa información confidencial mediante el acceso a la herramienta denomina Expediente Electrónico. El firmante acuerda tratar dicha información en forma confidencial y tomar todas las precauciones posibles para evitar la divulgación de dicha información a terceros durante el término de este acuerdo y con posterioridad al mismo.
Acceso al Expediente Electrónico Identificación presentada:………………………………………………… Cedula:…………………………………………………… Acceso indefinido: Acceso temporal: motivo: ……………………………….. Desde este momento se asignara una clave con la que podrá ingresas al sistema, la cual tiene las siguientes características. La clave es personalizada. (El usuario ingresa la clave). La clave es personal e intransferible. (El usuario y clave no pueden ser usadas por terceras personas, ya que al tratarse de un documento legal, el mal uso, la divulgación de información recae en la persona firmante de este documento). Quedando sin responsabilidad alguna el personal de TI, atención a médicos y capital humano. El mal manejo del usuario asignado será reportado inmediatamente a la dirección general del Hospital San Ángel Inn Universidad S.A de C.V. El usuario firmante queda obligado a no divulgar por ningún medio electrónico, escrito, hablado información confidencial del expediente electrónico a terceras personas o instituciones ajenas. Está prohibido el uso de celulares, cámaras fotográficas para replicar las imágenes del expediente que se muestran en las pantallas de los equipos pc. Queda prohibido el duplicado en papel del expediente, por tal motivo no existen multifuncionales en las centrales de enfermería. Las reimpresiones se realizan en archivo Clinico. Queda prohibido el uso de usb en las centrales de enfermería. Queda prohíbo el acceso a las carpetas de configuración del expediente, la detección del acceso y/o borrado de estas carpetas será sancionado. Con la baja de la cuenta.
______________________ ______________________
Nombre y firma del solicitante Nombre y firma de personal de TI
Constitución Política de los Estados Unidos Mexicanos, Art. 4°, párrafos II y III, Arts. 6º, 16º. , Ley Federal de Protección de Datos Personales en Posesión de Particulares, Art. 3º, fracción VI, Arts. 9º, 10º, y 13º.
M a n u a l d e P r o c e d i m i e n t o s
Dirección de Capital Humano
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnologías de la Información
Inicio de Implantación
01/04/2014
F. Modificación
01/04/2016
Versión:
02
Ref:
MCI / GLD
Página:
121 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ciudad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014-0006
Tecnologías de la Información
FORMATO DE CAMBIO DE CONTRASEÑA DEL EXPEDIENTE ELECTRONICO
Este acuerdo de confidencialidad para el cambio de contraseña entre en vigencia y se celebra el día ___________.en la Ciudad de México. Entre_________________________________________________ y el Hospital San Ángel Inn Universidad S.A de C.V.
Cambio de contraseña para el Acceso al Expediente Electrónico.
Identificación mostrada:………………………………………….. Cedula:………………………………………….. Motivo por el que solicita el cambio de la contraseña: ………………………………………… Desde este momento se asignara una nueva clave con la que podrá ingresas al sistema, la cual tiene las siguientes características. La clave es personalizada. (El usuario ingresa la clave). La clave es personal e intransferible. (El usuario y clave no pueden ser usadas por terceras personas, ya que al tratarse de un documento legal, el mal uso, la divulgación de información recae en la persona firmante de este documento). Quedando sin responsabilidad alguna el personal de TI, atención a médicos y capital humano. El mal manejo del usuario asignado será reportado inmediatamente a la dirección general del Hospital San Ángel Inn Universidad S.A de C.V.
______________________ ______________________ Nombre y firma del solicitante Nombre y firma de personal de TI
M a n u a l d e P r o c e d i m i e n t o s
Dirección de Capital Humano
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnologías de la Información
Inicio de Implantación
01/04/2014
F. Modificación
01/04/2016
Versión:
02
Ref:
MCI / GLD
Página:
122 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ciudad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014-0006
Tecnologías de la Información
ACUERDO DE CONFIDENCIALIDAD PARA LA ADMINISTRACIÓN DEL EXPEDIENTE ELECTRONICO
Este acuerdo de confidencialidad para el cambio de contraseña entre en vigencia y se celebra el día ___________.en la Ciudad de México. Entre_________________________________________________ y el Hospital San Ángel Inn Universidad S.A de C.V.
Administración del Expediente Electrónico. La administración del expediente electrónico queda en todo momento bajo el resguardo del personal que integra el área de TI.
Es responsabilidad del personal de TI. Garantizar el acceso al expediente electrónico en todos los equipos de las centrales, terapias, descanso de médicos, quirófano. Garantizar el no acceso a los servidores y bases de datos que contienen la información de los pacientes por parte de los usuarios. Solicitar identificación oficial al inicio del proceso de alta del nuevo usuario y/o en el cambio de contraseña. Llevar un control de los formatos de alta, baja, cambio de contraseña. El usuario firmante queda obligado a no divulgar por ningún medio electrónico, escrito, hablado información confidencial del expediente electrónico a terceras personas o instituciones ajenas. Está prohibido el uso de celulares, cámaras fotográficas para replicar las imágenes del expediente que se muestran en las pantallas de los equipos pc. Solo para casos de reporte de fallas. La realización de respaldos de la información de la base de datos. La mala administración, malos manejos del expediente electrónico en beneficio propio o de terceros será reportado directamente a capital humano, donde se levantara el acta administrativa correspondiente.
____________________ Nombre y firma de personal de TI
M a n u a l d e P r o c e d i m i e n t o s
Dirección de Capital Humano
Tecnología de la Información Código:
SAIU-MO-DG-TI-01 Emisor
Tecnologías de la Información
Inicio de Implantación
01/04/2014
F. Modificación
01/04/2016
Versión:
02
Ref:
MCI / GLD
Página:
123 de 123
Documento Controlado
Prohibida su Reproducción Parcial o Total No Autorizada
Cent ro Hosp i ta lar io Uni ve rs idad, S .A de C.V. , Mayorazgo N° 130, Co l . Xoco. Ben i to Juá rez, 03339 Ciudad de México . Te l (55) 5623 6363 , L ic . San i ta r ia 13 -A M-09-014-0006
23. Bitácora de copias controladas
Área donde se localiza Número de Copias Medio de Almacenamiento Firma
Dirección General 1 Impreso / Electrónico
Dirección de Capital Humano
1 Electrónico
Atención a Médicos 1 Impreso
Tecnología de la Información
1 Impreso / Electrónico
Calidad y Mejora Continua
1 Electrónico
Dirección Médica 1 Electrónico
Gerencia de Operaciones
1 Electrónico
24. Control de Cambios
Sección Fecha Revisió
n Resumen del cambio
01/04/2014 0 Emisión inicial.
15/01/2016 1
Revisión y actualización de todas las secciones. Se actualiza
el nombre del Director de Capital Humano.
01/04/2016 2 Actualización para certificación.