Fraternidad-Muprespa Política de seguretat dels sistemes d'informació

Política de seguretat dels sistemes d'informació

La política de seguretat dels sistemes d'informació Fraternidad-Muprespa es reflecteix en els principis que es mostren a continuació:

  • Registres mèdics, el nostre principal actiu a protegir.
    Per tant, un dels seus actius més crítics és el conjunt de registres mèdics dels treballadors accidentats i pacients en general atesos als seus centres sanitaris. La Política de Seguretat dels Sistemes d'Informació establerta per la Direcció identifica com a prioritària la protecció d'aquest bé sota els paràmetres de confidencialitat, disponibilitat i integritat, en un àmbit que inclou la prestació de serveis d'informació tant al propi personal de la mútua com als mateixos treballadors assegurats que accedeixen a aquesta informació a través de l'Oficina Digital.
  • Dades automatitzades, altres actius per protegir.
    La política de seguretat dels sistemes d'informació també amplia el seu abast a la resta de dades i procediments de gestió que estan automatitzats, que és pràcticament una pràctica total a la nostra organització. Així, els sistemes empresarials (empreses, treballadors, prestacions econòmiques d'incapacitat temporal i permanent, expedients administratius, prevenció) i els sistemes d'informació interns a la pròpia Mútua (gestió de personal, entorn econòmic financer, intranet corporativa) estan protegits pel SGSI.
  • Àmbit del concepte “informació protegida ”.
    Per informació protegida s'ha d'entendre no només la que està disponible en els sistemes informatitzats de manera tradicional (bases de dades), sinó també aquella informació de caràcter no estructurat que, mitjançant procediments d'escaneig o importació massiva, s'ha incorporat als diferents fitxers documentals. El terme "informació" inclourà també la documentació que de manera residual encara es manté en suport convencional (paper, acetat) encara que la vocació del sistema sigui l'automatització completa del 100% de la informació a mitjà termini.
  • Controls tècnics i  polítiques de formació i sensibilització.
    La seguretat és un objectiu que es pretén assolir tant mitjançant la implantació de controls de caràcter tècnic com mitjançant polítiques de formació i sensibilització de tot el personal implicat en la gestió dels sistemes, ja que la Direcció de Fraternidad-Muprespa està convençuda de la importància de la participació activa de tots els implicats en la cadena de seguretat. Per a això, es desenvolupen les corresponents accions formatives dirigides a tots els recursos humans i clients interns i externs.
  • Compliment de la legislació vigent.
    En l'àmbit de la seguretat tenen una especial rellevància tant la legislació en matèria de protecció de dades de caràcter personal com les disposicions en matèria d'historial mèdic i accés per part dels interessats. Aquests principis es segueixen tant en la gestió de la informació pròpiament dita com en totes les relacions i cessions de dades que puguin tenir cabuda en l'àmbit de la gestió de la Mútua.
  • Ampliació de la política  a acords amb proveïdors.
    D'altra banda, tots els contractes i convenis que, en matèria de tecnologies de la informació i les comunicacions, s'estableixin amb els diferents proveïdors, inclouen expressament els requisits que s'han de complir en matèria de seguretat en la prestació del servei contractat.
  • Adaptació als estàndards .
    Les metodologies de seguretat, procediments operatius, polítiques corporatives i en general tot l'òrgan regulador generat dins del Sistema de Gestió de la Seguretat de la Informació tenen un marcat component d'estandardització, de manera que es segueixen les “millors pràctiques” del sector TIC, s'adapten les recomanacions dels principals grups d'interès (fabricants, comunitats d'usuaris, líders d'opinió) i es facilita l'adaptació de solucions ja a la mesura que les organitzacions siguin possibles. En concret, se segueixen les normes internacionals UNE-EN ISO/IEC 27001:2017 i UNE-EN ISO/IEC 27002:2017. També es compleix l'adaptació als estàndards derivats del compliment de l'Esquema Nacional de Seguretat, i en particular als estàndards tècnics elaborats pel Centre Criptològic Nacional del Centre Nacional d'Intel·ligència.
  • Seguretat, un procés.
    La seguretat dels sistemes d'informació no s'entén com un conjunt de mesures aïllades que s'implementen només d'acord amb els requisits legals, l'estat de l'art o les tendències tecnològiques; Més aviat, la seguretat s'entén com un procés que inclou aspectes organitzatius, procedimentals, tecnològics i de gestió de recursos humans, sent aquest darrer aspecte fonamental en les polítiques de sensibilització i formació dels usuaris.
  • Millora contínua.
    Mitjançant l'ús de polítiques de seguretat de la informació, objectius, resultats de les auditories internes i externes, anàlisi de dades, accions correctives i preventives i la revisió del sistema per part de la Subdirecció General de Sistemes d'Informació, es garanteix la millora contínua i l'eficàcia del SGSI.
  • Anàlisi i gestió de riscos.
    La implantació de mesures de seguretat és el resultat de l'aplicació de plans de tractament de riscos, derivats de decisions de gestió de riscos, segons la metodologia definida i aprovada per Fraternidad-Muprespa i inclosa en el procediment que estableix la metodologia d'anàlisi i gestió de riscos. Aquesta metodologia es basa conceptualment en l'Esquema Nacional de Seguretat, aprovat pel RD 3/2010. 
    El risc residual assumit per l'organització està aprovat pel Risk Owner, la funció del qual la exerceix el Comitè de Tecnologies de la Informació i les Comunicacions (Comitè TIC).
  • Components del Sistema de Gestió de la Seguretat de la Informació (SGSI).
    El ISMS està format per un cos de documents que inclou polítiques i procediments, instruccions tècniques i registres que donen suport als aspectes organitzatius, procedimentals i tècnics del sistema, a més de permetre el seu funcionament. Algunes polítiques són aplicables i extenses a tot el personal, i el seu compliment és obligatori.
    La Direcció de Fraternidad-Muprespa promou la Política de Seguretat dels Sistemes d'Informació, i facilita la dotació dels recursos tècnics i humans necessaris per a la seva completa implementació.

Els objectius prioritaris de seguretat de la informació, definits per la Direcció Fraternidad-Muprespa, són:

  • Garantir els aspectes de confidencialitat, disponibilitat, integritat, autenticitat i traçabilitat en els sistemes d'informació. En aquest sentit, tots els projectes realitzats per la Subdirecció General de Sistemes d'Informació tenen en compte la consideració dels riscos que comporta la seva implantació.
  • Reduir permanentment el nivell de risc a l'organització, mitjançant plans de tractament de riscos, seguiment i control dels riscos i activitats de formació, aculturació i sensibilització del personal, que es duen a terme periòdicament.
XPROTX ISMS Logoe99f2c79XPROTX

 

¿Que te ha parecido el contenido?