Torna

BUTLLETÍ OFICIAL DE LES ILLES BALEARS

Sección I. Disposiciones generales

CONSEJO DE GOBIERNO

Núm. 2134
Decreto 2/2018, de 23 de febrero, por el que se aprueba la política de seguridad de la información del Servicio de Salud de las Illes Balears

  • Contenido, oficial y auténtico, de la disposición: Documento pdf  Versión PDF

Texto

El Servicio de Salud de las Illes Balears es un ente público de carácter autónomo, adscrito a la Consejería de Salud del Gobierno de las Illes Balears, dotado de personalidad jurídica y patrimonio propios, con plena capacidad de obrar para el cumplimiento de sus fines, al que se confía la gestión de los servicios públicos sanitarios de carácter asistencial. De conformidad con la Ley 5/2003, de 4 de abril, de Salud de las Illes Balears, los objetivos fundamentales del Servicio de Salud consisten en participar en la definición de las prioridades de la atención sanitaria a partir de las necesidades de salud de la población y dar efectividad al catálogo de prestaciones y servicios que se pone al servicio de la población con la finalidad de proteger la salud; distribuir de manera óptima los medios económicos asignados a la financiación de los servicios y de las prestaciones sanitarias; garantizar que las prestaciones se gestionen de manera eficiente; garantizar, evaluar y mejorar la calidad del servicio al ciudadano, tanto en la asistencia como en el trato; promover la participación de los profesionales en la gestión del sistema sanitario balear y fomentar la motivación profesional, y promover la formación, la docencia y la investigación en el ámbito de la salud.

Hay que considerar que la información que recaba y gestiona el Servicio de Salud en el ejercicio de sus competencias constituye un activo esencial para cumplir adecuadamente los objetivos reseñados, y que el funcionamiento correcto de los sistemas de información que albergan y gestionan dichos datos es imprescindible para el ejercicio adecuado, eficaz y eficiente de las obligaciones atribuidas en materia de asistencia y de gestión sanitaria. Por tanto, asume la responsabilidad asociada a la protección de esos datos frente a las amenazas que puedan afectar a su seguridad.

Los beneficios de la implantación de las tecnologías de la información en los entornos sanitarios son más que evidentes, pues facilitan la prestación de servicios sanitarios con coherencia y cohesión desde los distintos niveles asistenciales, en especial en un ámbito geográfico caracterizado por la insularidad, lo cual no hace sino potenciar aun más los beneficios de estas tecnologías. No obstante, en este entorno la seguridad de la información es claramente un imperativo, pues la información gestionada en este ámbito está sometida a unos requisitos de seguridad muy exigentes.

El artículo 11 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, establece que todos los órganos superiores de las administraciones públicas deben tener una política de seguridad de la información, aprobada por el titular del órgano superior correspondiente.

Por su parte, el Decreto 97/2006, de 24 de noviembre, regula las comisiones para la mejora continua de la seguridad de la información en la Administración de la Comunidad Autónoma de las Illes Balears. De acuerdo con dicho decreto, la Comisión Directora de Seguridad de la Información emitió el informe correspondiente sobre el presente decreto.

Dada la materia que se está regulando, que afecta a la seguridad de la información, muchas veces referida a datos especialmente protegidos, resulta conveniente que la regulación de esta política de seguridad de la información se realice por vía de decreto, teniendo en cuenta, además, que todavía no se ha aprobado la política de seguridad de la información para el resto de la Administración de la Comunidad Autónoma.

Este decreto tiene por objeto desarrollar un aspecto específico del acceso electrónico de los ciudadanos a los servicios públicos, que es el de la seguridad.

De acuerdo con el Decreto 24/2015, de 7 de agosto, de la presidenta de las Illes Balears, por el que se establecen las competencias y la estructura orgánica básica de las consejerías de la Administración de la Comunidad Autónoma de las Illes Balears, la Vicepresidencia y la Consejería de Innovación, Investigación y Turismo —mediante la Dirección General de Desarrollo Tecnológico— tiene competencia en materia de seguridad de la información de los recursos tecnológicos. Por otra parte, el Servicio de Salud está adscrito a la Consejería de Salud y debe organizar la planificación de la seguridad de la información en su ámbito. Esta Consejería —mediante la Dirección General de General de Planificación, Evaluación y Farmacia— se encarga de la planificación y la ordenación de la asistencia sanitaria, uno de cuyos aspectos es la seguridad de la información que se maneja.

En consecuencia, a propuesta de la consejera de Innovación, Investigación y Turismo y de la consejera de Salud, oído el Consejo Consultivo de las Illes Balears y habiéndolo considerado previamente el Consejo de Gobierno en la sesión del 23 de febrero de 2018

 

DECRETO

Capítulo I
Aspectos generales

Artículo 1

Objeto

Este decreto tiene por objeto definir la política de seguridad de la información del Servicio de Salud de las Illes Balears.

Artículo 2

Ámbito de aplicación

1. La política de seguridad de la información del Servicio de Salud es aplicable con carácter obligatorio a todas las unidades administrativas y a todos los órganos del Servicio de Salud, y también a los entes que —en su caso— estén adscritos a éste, por lo que debe observarla todo el personal que preste servicio en ellos.

2. Asimismo es aplicable a los centros privados que estén incorporados al sistema sanitario público de las Illes Balears por medio de acuerdos, convenios u otras fórmulas de gestión integrada o compartida. Dicha política de seguridad debe ser observada por su personal.

3. La política de seguridad de la información también es aplicable y de obligado cumplimiento para las personas que, aunque no presten servicio directamente en el Servicio de Salud o en algún ente adscrito a éste, tengan acceso a la información o a los sistemas que gestionan dicha información.

4. La política de seguridad de la información incluye todos los sistemas de información gestionados por el Servicio de Salud.

Artículo 3

Definiciones

A los efectos de la política de seguridad de la información del Servicio de Salud, son aplicables las definiciones que establece el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. Asimismo, se definen los siguientes conceptos:

a) Responsable de la información: persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.

b) Responsable de la seguridad de la información: persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

c) Responsable del servicio: persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.

d) Responsable del sistema: persona que se encarga de la explotación del sistema de información.

 

Artículo 4

Misión

A efectos de este decreto, el Servicio de Salud actúa de conformidad con la Ley 5/2003, de 4 de abril, de Salud de las Illes Balears, y tiene por misión mantener unos adecuados niveles de seguridad y protección frente a amenazas a la información que gestiona, que es el activo fundamental para cumplir sus objetivos. 

Artículo 5

Objetivos

El Servicio de Salud asume los siguientes objetivos en materia de seguridad de la información:

1) Establecer las pautas necesarias para garantizar en todo momento la seguridad de la información a través de directrices con objeto de preservar, proteger y consolidar la seguridad de los servicios y los activos de información con el objetivo de mejorar la calidad de los servicios que se prestan a los ciudadanos.

2) Garantizar la implantación de las medidas y de los mecanismos de seguridad apropiados para proteger los servicios prestados, los sistemas de información utilizados para prestarlos y la información procesada, almacenada o transmitida por éstos, de manera coherente con los riesgos afrontados.

3) Asegurar que se cumpla la normativa vigente en materia de seguridad y protección de datos a las que el Servicio de Salud deba someterse.

4) Garantizar la eficacia de las medidas de seguridad implantadas por medio de evaluaciones y auditorías.

5) Establecer una estructura organizativa adecuada para la gestión de la seguridad de la información definiendo los roles y los comités necesarios, además de las funciones y las respectivas responsabilidades.

6) Garantizar la operación continuada y adecuada de los servicios y de los sistemas actuando para prevenir, detectar, reaccionar y operar de manera oportuna ante los incidentes de seguridad que se produzcan, y velar por la implantación de los mecanismos necesarios que aseguren la continuidad de las actividades críticas permitiendo que éstas se recuperen en un periodo de tiempo aceptable.

7) Impulsar y fomentar la formación, la concienciación y el cumplimento de las obligaciones en materia de seguridad de la información del personal al servicio de la organización, a fin de garantizar el conocimiento de las políticas y las normativas aprobadas y de las prácticas recomendadas, con el objetivo último de lograr que la seguridad de la información se convierta en un factor inherente al desarrollo de las funciones y de las operativas cotidianas.

8) Promover que las actividades destinadas a lograr los niveles de seguridad requeridos se estructuren y se conciban como un proceso de mejora continua, y no como acciones o esfuerzos puntuales, sustentándolo en el análisis y la gestión sistematizados de los riesgos.

 

Artículo 6

Marco normativo

1. El diseño, operación, uso y administración de la información, de los sistemas de información y de los servicios del Servicio de Salud deben cumplir las siguientes normas, que se citan con carácter enunciativo y no limitador:

a) Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

b) Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

c) Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

d) Ley 3/2003, de 26 de marzo, de Régimen Jurídico de la Administración de la Comunidad Autónoma de las Illes Balears.

e) Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

f) Ley 5/2003, de 4 de abril, de Salud de las Illes Balears.

g) Ley 59/2003, de 19 de diciembre, de Firma Electrónica.

h) Ley 4/2011, de 31 de marzo, de la Buena Administración y del Buen Gobierno de las Illes Balears.

i) Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica.

j) Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la administración electrónica.

k) Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999.

l) Decreto 39/2006, de 21 de abril, por el que se aprueban los Estatutos del ente público Servicio de Salud de las Illes Balears.

m) Decreto 107/2006, de 15 de diciembre, de regulación del uso de la firma electrónica en el ámbito de la Administración de la Comunidad Autónoma de las Illes Balears.

n) Decreto 97/2006, de 24 de noviembre, por el que se crean y regulan las comisiones para la mejora continua de la seguridad de la información en la Administración de la Comunidad Autónoma de las Illes Balears.

o) Decreto 113/2010, de 5 de noviembre, de acceso electrónico a los servicios públicos de la Administración de la Comunidad Autónoma de las Illes Balears.

p) Decreto 126/2010, de 23 de diciembre, por el que se regulan la Comisión Superior de Sistemas de Información en Tecnología y Comunicaciones y la adquisición, la alienación, el arrendamiento y el mantenimiento de bienes y servicios de los sistemas de información.

q) Decreto 24/2015, de 7 de agosto, de la presidenta de las Illes Balears, por el que se establecen las competencias y la estructura orgánica básica de las consejerías de la Administración de la Comunidad Autónoma de las Illes Balears.

r) Decreto 81/2015, de 25 de septiembre, por el que se establece la estructura orgánica básica del Servicio de Salud de las Illes Balears.

s) Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de les personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos).

t) Circular 1/2014, de 18 de agosto, del director general del Servicio de Salud de las Islas Baleares, por la que se aprueba el Código de buenas prácticas del Servicio de Salud en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal.

2. Aparte de estas disposiciones legales y, en cualquier caso, el Servicio de Salud —en materia de política de seguridad de la información— actuará con estricto cumplimiento de la legalidad vigente.

Artículo 7

Desarrollo de la política de seguridad de la información

1. La presente política de seguridad de la información se desarrollará en varios niveles:

a) Nivel estratégico, en el que se incluyen las directrices emitidas por la normativa vigente y por la presente política de seguridad de la información.

b) Nivel táctico, en el que se establecen las normas que definen las pautas para cada una de las áreas de conocimiento y seguridad del Servicio de Salud de conformidad con los objetivos establecidos por la política de seguridad de la información.

c) Nivel operativo, en el que se desarrollan los procedimientos y las instrucciones técnicas que detallen las actividades que se deberán realizar para gestionar la seguridad de la información definiendo los concretos detalles y los aspectos prácticos sobre la manera de hacerlas para ejecutar la tarea especificada y cumplir las responsabilidades asignadas.

2. Los niveles táctico y operativo se desarrollan en torno a un marco documental que consiste en instrucciones o circulares internas propuestas por el Comité para la Gestión y la Coordinación de la Seguridad de la Información a los órganos directivos del Servicio de Salud.

3. Este marco documental estará a disposición del personal que trabaje para el Servicio de Salud y que necesite conocerlo, en particular para quien use o administre los sistemas de información y las comunicaciones.

4. En particular, todo el personal que esté al servicio del Servicio de Salud respetará y conocerá el Código de buenas prácticas del Servicio de Salud de las Illes Balears en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal, aprobado por una circular del director general.

5. En cuanto al tratamiento de los datos de carácter personal, hay que actuar según lo que disponen los correspondientes documentos de seguridad exigidos por el Reglamento de desarrollo de la Ley Orgánica 15/1999.

Artículo 8

Revisión de la política de seguridad de la información

El Comité para la Gestión y la Coordinación de la Seguridad de la Información que se establece en el artículo 10 del presente decreto revisará y propondrá las necesarias actualizaciones de la política de seguridad de la información para asegurar que cumple la legalidad vigente. Para cumplir este objetivo puede proponer cualquier modificación del presente decreto que considere necesaria.

 

Capítulo II
Organización de la seguridad de la información

Artículo 9

Estructura organizativa y roles de seguridad

1. La estructura organizativa para gestionar la seguridad de la información en el Servicio de Salud se compone de los siguientes actores:

a) El Comité para la Gestión y la Coordinación de la Seguridad de la Información.

b) El Comité de Seguridad de la Información de los Servicios Centrales y los comités respectivos de cada gerencia territorial.

2. Se definen los siguientes roles para gestionar la seguridad de la información en el Servicio de Salud:

a) Los responsables de la información.

b) Los responsables de los servicios.

c) El responsable de la seguridad de la información de los Servicios Centrales del Servicio de Salud.

d) El responsable de la seguridad de la información de cada gerencia territorial.

e) Los responsables de los sistemas.

3. Los roles de responsable de la información y de responsable de los servicios pueden coincidir en una misma persona cuando la prestación del servicio dependa de la unidad que es responsable de la información o cuando el servicio no maneje información de procedencias diferentes.

4. El rol de responsable de los servicios y el de responsable de los sistemas no pueden recaer en una persona que ejerza simultáneamente el papel de responsable de la seguridad de la información de los Servicios Centrales del Servicio de Salud o de cualquiera de las gerencias territoriales.

Artículo 10

El Comité para la Gestión y la Coordinación de la Seguridad de la Información

1. El Comité para la Gestión y la Coordinación de la Seguridad de la Información es un órgano colegiado, dependiente de la Dirección General del Servicio de Salud de las Illes Balears, cuyo objetivo es impulsar y promover la seguridad de la información del Servicio de Salud y de sus entes adscritos.

2. Este Comité está formado por las siguientes personas:

a) El secretario general del Servicio de Salud, que ocupa su Presidencia.

b) Vocales:

1) El subdirector de Tecnología y Sistemas de Información.

2) Un representante de los servicios jurídicos del Servicio de Salud.

3) Los responsables de la seguridad de la información de cada una de las gerencias territoriales.

c) El responsable de la seguridad de la información de los Servicios Centrales del Servicio de Salud, que actúa como secretario, con voz y voto.

3. El Comité podrá recabar del personal técnico propio o externo la pertinente información para tomar decisiones y podrá invitar a dicho personal a las reuniones, con voz pero sin voto. Todos estos profesionales guardarán secreto sobre los asuntos de que tengan conocimiento en las reuniones.

4. El Comité depende del Consejo de Dirección del Servicio de Salud, al que comunicará cualquier cuestión, actividad o necesidad relacionada con la seguridad de la información en su ámbito de responsabilidad.

5. El Comité tendrá las siguientes funciones:

a) Coordinar los esfuerzos de las distintas gerencias, de los órganos y los organismos pertenecientes al Servicio de Salud o adscritos a este y, en general, de todos los grupos internos con responsabilidades sobre la seguridad de la información, con el fin de asegurar que las iniciativas en esta materia sean homogéneas y de evitar duplicidades.

b) Asesorar a los órganos de dirección del Servicio de Salud en cuestiones, peticiones o actividades relacionadas con la seguridad de la información.

c) Revisar y proponer las actualizaciones necesarias que establece el presente decreto de política de seguridad para que el Consejo de Gobierno las apruebe, y emitir un informe en los términos del artículo 7 del presente decreto.

d) Elaborar la estrategia del Servicio de Salud en materia de seguridad de la información estableciendo las principales directrices y responsabilidades en materia de seguridad que garanticen la autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad de la información y de los servicios, y alinear las actividades de seguridad con la misión y los objetivos del Servicio de Salud.

e) Aprobar las medidas necesarias para aplicar y cumplir las disposiciones establecidas en la presente política de seguridad de la información.

f) Hacer el seguimiento general del estado de la seguridad de la información en el Servicio de Salud.

g) Aprobar y coordinar todos los proyectos de mejora o cambio sobre la seguridad de la información en aplicaciones, sistemas, activos y recursos de la organización, incluidos los planes de mejora de la seguridad.

h) Fomentar la creación y el uso de servicios horizontales que reduzcan duplicidades y apoyen un homogéneo funcionamiento de todos los sistemas de información.

i) Monitorizar los principales riesgos residuales asumidos por las gerencias y recomendar posibles actuaciones al respecto.

j) Revisar y tomar las decisiones sobre las cuestiones que les remitan los comités de seguridad de la información de los Servicios Centrales o de las gerencias territoriales.

6. Se convocarán reuniones ordinarias del Pleno del Comité con una periodicidad mínima semestral. Además, cualquiera de sus miembros podrá solicitar una convocatoria extraordinaria si concurren causas que lo aconsejen. Los miembros del Comité tendrán las siguientes funciones:

a) Proponer que se incluyan en el orden del día las cuestiones que estimen oportunas con relación a la seguridad de la información.

b) Asistir a las reuniones del Comité, participar en sus debates, formular ruegos y preguntas y ejercer el derecho a voto.

7. El Comité podrá acordar crear cuantos grupos de trabajo considere necesarios para preparar, estudiar y desarrollar las cuestiones sometidas a su conocimiento. Dichos grupos ejercerán por razones de urgencia y operatividad las funciones que el Pleno les delegue. El Comité conocerá en las sesiones del Pleno los resultados de las actuaciones de los grupos de trabajo.

8. De cada sesión se extenderá un acta, en la que constarán las circunstancias de lugar y tiempo, las personas asistentes, el orden del día, un resumen de las deliberaciones, las decisiones acordadas y cualquier otro tema que los miembros del Comité soliciten expresamente que conste en ella.

9. El funcionamiento del Comité se ajustará a lo que prevé la Ley 40/2015.

10. Se propiciará la participación equilibrada de hombres y mujeres en el seno del Comité.

Artículo 11

Los comités de seguridad de la información de los Servicios Centrales y de las gerencias territoriales

1. Se definirá un comité de seguridad de la información para los Servicios Centrales del Servicio de Salud y para cada una de las gerencias territoriales, dependientes de la Dirección General del Servicio de Salud de las Illes Balears. El objetivo de dichos comités es fomentar la seguridad de la información en su ámbito de responsabilidad y velar por ella.

2. El ámbito de responsabilidad del Comité de Seguridad de la Información de los Servicios Centrales es el definido en el capítulo II del Decreto 81/2015. Del mismo modo, el ámbito de responsabilidad de los comités de seguridad de la información de las gerencias territoriales reguladas en el capítulo III del Decreto 81/2015 es el correspondiente a cada gerencia. 

3. Cada comité de seguridad de la información está formado por las siguientes personas:

a) El director de cada gerencia, que ocupa la presidencia. En el caso del Comité de Seguridad de la Información de los Servicios Centrales, este cargo recae en el secretario general del Servicio de Salud.

b) Vocales:

1) Un representante de la Subdirección de Tecnología y Sistemas de Información; para el Comité de Seguridad de la Información de los Servicios Centrales será su subdirector.

2) Los responsables de las áreas que el presidente del comité considere.

c) El responsable de la seguridad de la información de la gerencia o el responsable de seguridad de la información de los Servicios Centrales, respectivamente para cada comité, que actúan como secretarios, con voz y voto.

4. Cada comité tendrá las siguientes funciones:

a) Resolver las inquietudes y los problemas de las unidades de su ámbito de responsabilidad en materia de seguridad de la información.

b) Hacer el seguimiento del estado de la seguridad de los sistemas de información en su ámbito de responsabilidad y revisar y analizar los incidentes, tanto los ocurridos de manera efectiva como los incidentes potenciales.

c) Aprobar iniciativas para elaborar normativa interna de seguridad de la información en su ámbito de responsabilidad, sin perjuicio de las normativas aplicables al Servicio de Salud en conjunto.

d) Promover la mejora continua en la gestión de la seguridad de la información en su ámbito de responsabilidad e impulsar y gestionar la implantación de un sistema de gestión a tal efecto.

e) Supervisar y controlar los riesgos sobre los activos de información y los servicios, para lo cual debe determinar el riesgo asumible, monitorizarlo y hacer un seguimiento de las actuaciones adecuadas.

f) Velar por el cumplimiento de la normativa legal, regulatoria y sectorial aplicable.

g) Respaldar y priorizar las iniciativas y las acciones de mejora de la seguridad en los sistemas de información y promover los proyectos que se requieran para implantar las medidas y las acciones de seguridad acordes con el nivel de riesgo.

h) Determinar los niveles de seguridad de los servicios y de la información en el caso de que no los determinen los responsables de los servicios o los responsables de la información.

i) Monitorizar los procesos de gestión de incidentes en la seguridad y recomendar las posibles actuaciones al respecto; en particular, velar por la coordinación de las diferentes áreas en la gestión de los incidentes en la seguridad de la información.

j) Promover auditorías periódicas que permitan verificar si se cumplen las obligaciones en materia de seguridad de la información.

k) Velar para que la seguridad de la información se tenga en cuenta en todos los proyectos, desde la especificación inicial hasta la puesta en operación.

l) Resolver los conflictos de responsabilidad que puedan surgir entre los diferentes responsables y/o entre diferentes áreas y elevarlos en caso de que no tenga suficiente autoridad para decidir.

m) Impulsar acciones de formación, concienciación y cumplimento de las obligaciones en materia de seguridad de la información.

5. En cuanto a la gestión y el funcionamiento de los comités, son aplicables las mismas normas que las previstas para el Comité para la Gestión y la Coordinación de la Seguridad de la Información, en concreto los apartados 7, 8 y 9 del artículo 10 de este decreto.

6. El funcionamiento de los comités se ajustará a lo que prevé la Ley 40/2015.

7. En cuanto a las iniciativas o actuaciones que excedan el ámbito de actuación de cada comité, o cuando haya proyectos horizontales que afecten a todo el Servicio de Salud, hay que atenerse a lo que haya decidido el Comité para la Gestión y la Coordinación de la Seguridad de la Información.

8. Se propiciará la participación equilibrada de hombres y mujeres en el seno de cada comité.

Artículo 12

Los responsables de la información

1. Toda la información gestionada por el Servicio de Salud tendrá al menos un responsable.

2. Los responsables de la información tendrán la responsabilidad última del uso que se haga de la información y de protegerla.

3. El responsable de la información, que será designado por el director general del Servicio de Salud, tiene la competencia suficiente para decidir sobre la finalidad, contenido y uso de dicha información.

4. Si se trata de información para la que haya más de un responsable, todos ellos deben asumir conjuntamente el rol de responsable de la información asociada y ejercer las funciones asignadas. En caso de cualquier discrepancia para determinar los requisitos de seguridad aplicables a la información, se aplicarán los más restrictivos. Para cualquier otra discrepancia se aplicará el procedimiento de resolución de conflictos determinado en esta política de seguridad de la información.

5. Los responsables de la información tendrán las siguientes funciones:

a) Establecer los requisitos de seguridad de la información conforme a los criterios establecidos por la política de seguridad de la información.

b) Comunicar los requisitos de seguridad de la información a los responsables de la seguridad de la información competentes.

c) Como responsables últimos de la información, asumir la responsabilidad final de implantar las medidas de protección de aquella.

d) Asumir la propiedad de los riesgos sobre la información, monitorizarlos y aceptar el riesgo residual.

 

Artículo 13

Los responsables de los servicios

1. En el ámbito del Servicio de Salud existirá al menos un responsable para cada uno de los servicios prestados por dicho ente.

2. Los responsables de los servicios tienen la responsabilidad última del uso que se haga de un servicio y de protegerlo.

3. Los responsables de los servicios, que serán designados por el director general del Servicio de Salud, tienen atribuidas las competencias relacionadas con el fin al que sirven dichos servicios.

4. Los responsables de los servicios tendrán las siguientes funciones:

a) Establecer los requisitos de los servicios en materia de seguridad conforme a los criterios establecidos en esta política de seguridad de la información.

b) Comunicar los requisitos de los servicios en materia de seguridad a los responsables de la seguridad de la información competentes.

c) Como responsables últimos de los servicios, asumir la responsabilidad final de implantar las medidas de protección de aquellos.

d) Asumir la propiedad de los riesgos sobre los servicios, monitorizarlos y aceptar el riesgo residual.

 

Artículo 14

El responsable de la seguridad de la información de los Servicios Centrales del Servicio de Salud

1. El subdirector de Tecnología y Sistemas de Información designará al responsable de la seguridad de la información del Servicio de Salud teniendo en cuenta sus cualidades profesionales, en particular sus conocimientos especializados en legislación y las prácticas en materia de seguridad de la información y protección de datos de carácter personal.

2. El responsable de la seguridad de la información del Servicio de Salud tendrá las siguientes funciones:

a) Actuar como secretario del Comité de Seguridad de la Información de los Servicios Centrales y del Comité para la Gestión y la Coordinación de la Seguridad de la Información.

b) Representar al Servicio de Salud en foros sectoriales o ante agentes externos en asuntos relacionados con la seguridad de la información.

c) Reportar información resumida de las actuaciones en materia de seguridad y de los incidentes, tanto al Comité de Seguridad de la Información de los Servicios Centrales como al Comité para la Gestión y la Coordinación de la Seguridad de la Información.

d) Informar acerca de los resultados de las evaluaciones de los riesgos —en particular del riesgo residual— tanto al Comité de Seguridad de la Información de los Servicios Centrales como al Comité para la Gestión y la Coordinación de la Seguridad de la Información.

e) Coordinar la ejecución de las decisiones del Comité de Seguridad de la Información de los Servicios Centrales y —junto con los responsables de la seguridad de la información de las gerencias territoriales— de las decisiones del Comité para la Gestión y la Coordinación de la Seguridad de la Información.

f) Determinar la categoría de los sistemas a partir de los requisitos de seguridad de los servicios a los que apoyan y de la información que manejan.

g) Mantener la seguridad de la información manejada y de los servicios prestados por los sistemas de información gestionados por la Subdirección de Tecnología y Sistemas de Información, e instar a implantar las medidas de seguridad que correspondan.

h) Promover y coordinar las acciones de formación, concienciación y el cumplimento de las obligaciones en materia de seguridad de la información en el ámbito de los Servicios Centrales del Servicio de Salud.

i) Elaborar los análisis de riesgos sobre los activos de los Servicios Centrales del Servicio de Salud y los sistemas gestionados por la Subdirección de Tecnología y Sistemas de Información, y monitorizar que no se superen los márgenes tolerables de riesgo.

j) Identificar carencias y debilidades en los sistemas e informar de ellas a los responsables de la información, de los servicios y del sistema.

k) Elaborar la declaración de aplicabilidad de los sistemas, incluyendo posibles medidas de seguridad adicionales requeridas dependiendo del análisis de los riesgos.

l) Promover el desarrollo del marco normativo en materia de seguridad.

m) Elaborar los planes de mejora de la seguridad junto con los responsables de los sistemas.

n) Validar los planes de continuidad.

o) Fomentar y supervisar la investigación de los incidentes de seguridad desde su notificación hasta su resolución.

p) Analizar los incidentes de seguridad y proponer salvaguardas que eviten que se repitan.

q) Verificar que las medidas de seguridad establecidas son adecuadas para la protección de la información manejada y los servicios prestados.

r) Analizar los informes de las auditorías. En el caso de las auditorías en materia de protección de datos, elevar los resultados al responsable del fichero.

s) Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gestión de eventos de la seguridad y por los mecanismos de auditoría implementados en el sistema.

t) Asumir el rol de responsable de la seguridad de los tratamientos de datos de carácter personal aplicados en los Servicios Centrales y en el ámbito de la Subdirección de Tecnología y Sistemas de Información, y en general sobre los tratamientos aplicados a los ficheros que son responsabilidad del Servicio de Salud o de órganos, entes o unidades de los Servicios Centrales, y asumir asimismo las funciones establecidas por la normativa aplicable, particularmente las definidas en el artículo 95 del Reglamento de desarrollo de la Ley Orgánica 15/1999.

3. El responsable de la seguridad de la información del Servicio de Salud podrá designar a responsables de seguridad delegados en las situaciones, en los ámbitos o en los sistemas para los que —por razón de su naturaleza, complejidad, distribución, separación física de sus elementos, número de usuarios o por cualquier otro motivo— el nombramiento resulte aconsejable a fin de desempeñar las funciones que tiene asignadas. Los responsables de la seguridad delegados deben tener conocimientos especializados en legislación y prácticas en materia de seguridad de la información y protección de datos de carácter personal. Dependerán funcionalmente del responsable de la seguridad de la información del Servicio de Salud y le rendirán cuentas.

Artículo 15

Los responsables de la seguridad de la información de las gerencias territoriales

1. Existirá un responsable de la seguridad de la información en cada una de las gerencias territoriales.

2. El director de cada gerencia designará al responsable de la seguridad de la información respectivo teniendo en cuenta sus cualidades profesionales, en particular sus conocimientos especializados de la legislación y las prácticas en materia de seguridad de la información y protección de datos de carácter personal.

3. El responsable de la seguridad de la información de cada gerencia asumirá las funciones establecidas para el responsable de la seguridad de la información del Servicio de Salud —descritas en el apartado 1 del artículo 13 de este decreto—, pero con las siguientes precisiones:

a) Dichas funciones se entenderán aplicadas al ámbito de actuación de cada gerencia.

b) Las funciones relativas al Comité de Seguridad de la Información de los Servicios Centrales se entenderán aplicables al comité de seguridad de la información de la gerencia correspondiente.

c) En cuanto al Comité para la Gestión y la Coordinación de la Seguridad de la Información, los responsables de la seguridad de la información de las gerencias deben participar en él.

4. Los responsables de la seguridad de la información de las gerencias asegurarán una coordinación y un alineamiento adecuados con el responsable de la seguridad de la información de los Servicios Centrales del Servicio de Salud, de tal manera que su relación estará guiada por el principio de la voluntad de colaboración mutua.

5. Los responsables de la seguridad de la información de las gerencias podrán designar a responsables de seguridad delegados en las situaciones, en los ámbitos o en los sistemas para los que —por razón de su naturaleza, complejidad, distribución, separación física de sus elementos, número de usuarios o por cualquier otro motivo— el nombramiento resulte aconsejable a fin de desempeñar las funciones que tiene asignadas. Los responsables de la seguridad delegados dependerán funcionalmente del responsable de la seguridad de la información de la gerencia correspondiente y le rendirán cuentas.

Artículo 16

Los responsables de los sistemas

1. En el ámbito del Servicio de Salud, todo sistema de información tendrá un responsable, que será el titular de la unidad competente en su gestión y operación.

2. El responsable de los sistemas en el ámbito de las gerencias territoriales será designado por el gerente que corresponda. Por su parte, en el ámbito de los Servicios Centrales y en el caso de los sistemas gestionados y operados de manera centralizada, el rol de responsable del sistema lo asumirá el subdirector de Tecnología y Sistemas de Información.

3. Los responsables de los sistemas tendrán las siguientes funciones:

a) Desarrollar, hacer funcionar y mantener los sistemas de información durante todo su ciclo de vida, ocuparse de sus especificaciones y de su instalación y verificar que funcionan correctamente.

b) Definir la tipología y los medios de gestión de los sistemas de información y establecer los criterios de uso y los servicios disponibles.

c) Asegurar que las medidas específicas de seguridad se integren adecuadamente en el marco general de seguridad.

d) En caso necesario, acordar la suspensión del manejo de una cierta información o de la prestación de un cierto servicio si es informado de deficiencias graves de seguridad que puedan afectar a la satisfacción de los requisitos establecidos. Antes de ejecutar esta decisión, la acordará con los responsables de la información y de los servicios afectados, con el responsable de la seguridad de la información del Servicio de Salud y con el responsable de la seguridad de la información de la gerencia correspondiente, en su caso.

e) Elaborar los planes de mejora de la seguridad junto con los responsables de la seguridad de la información.

f) Planificar la implantación de salvaguardas en los sistemas.

g) Ejecutar los planes de seguridad aprobados.

 

Artículo 17

Resolución de conflictos

1. En caso de conflicto entre los diferentes responsables que componen la estructura organizativa definida para la gestión de la seguridad de la información, lo resolverá su superior jerárquico; en su ausencia, prevalece la decisión del Comité para la Gestión y la Coordinación de la Seguridad de la Información.

2. En caso de conflicto entre los responsables que componen la estructura organizativa para la gestión de la seguridad de la información y los definidos en la normativa de protección de datos de carácter personal, prevalece la decisión que implique el nivel más alto de protección.

Artículo 18

Coordinación con terceros

1. Cuando el Servicio de Salud preste servicio a otro organismo o maneje información de otro organismo, le hará partícipe de esta política de seguridad de la información. Se establecerán canales para el reporte y la coordinación de los respectivos comités de seguridad de la información y procedimientos de actuación para reaccionar ante incidentes en la seguridad.

2. Cuando el Servicio de Salud utilice servicios de un tercero o le ceda información, le trasladará esta política de seguridad de la información y la normativa de seguridad que sea aplicable a dichos servicios. Dicho tercero quedará sujeto a las obligaciones establecidas en dicha normativa y podrá desarrollar sus propios procedimientos operativos para su cumplimiento.

3. No obstante, cuando dicho tercero sea una administración pública o un organismo del sector público, aplicará sus propias normas de seguridad de la información una vez que se le haya cedido la información.

4. Es necesario establecer procedimientos específicos de reporte y resolución de incidencias. Asimismo, se garantizará que el personal de terceros está formado y cumple adecuadamente las obligaciones en materia de seguridad, al menos al mismo nivel que el establecido en esta política de seguridad de la información.

5. Si un tercero no puede cumplir algún aspecto de la política de seguridad de la información según lo que se requiere en los párrafos anteriores, será preciso obtener un informe del responsable de seguridad competente que precise los riesgos en que se incurre y la manera de tratarlos. Con anterioridad a su continuación, también será necesario que los responsables de la información y los responsables de los servicios afectados aprueben dicho informe.

 

Capítulo III
Valoración de requisitos de seguridad de la información

Artículo 19

Aspectos generales

1. La aplicación de medidas de seguridad en los sistemas de información se hará teniendo en cuenta la valoración de los requisitos de seguridad de los servicios prestados y de la información gestionada por cada uno de ellos.

2. Los sistemas asumirán los requisitos más exigentes entre los indicados para la información que trata y los servicios que presta.

3. Los requisitos de seguridad identificados para los servicios y la información se tendrán en cuenta asimismo en los análisis de riesgos hechos sobre los sistemas de información.

Artículo 20

Procedimiento y niveles de valoración

1. En el ámbito del Servicio de Salud, la valoración de los requisitos de seguridad de la información y de los servicios se hará de conformidad con el Esquema Nacional de Seguridad, aprobado por el Real Decreto 3/2010, en particular su anexo I.

2. Quienes asuman los roles con las funciones correspondientes según lo definido en el capítulo II de este decreto se encargarán de valorar los requisitos de seguridad existentes sobre la información y los servicios.

3. Los servicios y la información serán valorados en cinco dimensiones de seguridad: autenticidad, confidencialidad, integridad, disponibilidad y trazabilidad.

4. Para cada dimensión de seguridad se indicará un nivel de valoración, de entre las cuatro posibilidades siguientes: alto, medio, bajo y sin valorar.

Artículo 21

Criterios de valoración

1. Los valores correspondientes a los requisitos de seguridad de cada servicio y cada activo de información se asignarán según las consecuencias que pueda tener un posible incidente de seguridad que afecte a cada una de las dimensiones de seguridad consideradas sobre las funciones de la organización y su capacidad para cumplir sus fines, sobre sus activos o sobre las personas afectadas.

2. En caso de que, para un servicio o activo de información en una determinada dimensión de seguridad, se considere que un incidente tendría consecuencias calificables como perjuicio muy grave, hay que asignar el nivel alto; si los efectos de tal incidente pueden describirse como perjuicio grave, hay que asignar el nivel medio; si los efectos pueden describirse como perjuicio limitado, entonces se trata del nivel bajo; y si, por el contrario, se estima que no supone perjuicio alguno, el valor adecuado es «sin valorar».

3. El Comité para la Gestión y la Coordinación de la Seguridad de la Información elaborará unos criterios de valoración adaptados a la casuística y a las particularidades del Servicio de Salud a fin de facilitar a los responsables correspondientes la especificación de los requisitos de seguridad.

  Capítulo IV
Gestión de los riesgos en la seguridad de la información

Artículo 22

Análisis de los riesgos

1. Todos los sistemas de información del Servicio de Salud serán objeto de un análisis de los riesgos a cargo de los responsables de seguridad de la información, que se repetirá con una periodicidad mínima anual.

2. Los análisis de los riesgos, además, se actualizarán en cualquiera de estos casos:

a) Si se identifican nuevos activos de información o si cambian los existentes o sus requisitos de seguridad.

b) Si se identifican cambios con relación a los servicios prestados.

c) Si ocurre un incidente grave en la seguridad o se identifican o reportan graves vulnerabilidades en la seguridad de los sistemas existentes.

 

Artículo 23

Gestión de los riesgos

1. Las decisiones sobre las medidas, proyectos e iniciativas de seguridad que deban tomarse en el ámbito del Servicio de Salud han de prever los resultados de la evaluación de los riesgos existentes en relación con la seguridad de la información sobre los sistemas utilizados.

2. El responsable de la seguridad de la información elevará al comité correspondiente los resultados de los análisis de los riesgos.

 

Capítulo V
El personal del Servicio de Salud

Artículo 24

Formación, concienciación y cumplimento de las obligaciones

1. El Servicio de Salud garantizará la definición y la ejecución de las acciones necesarias para concienciar y fomentar el cumplimiento de las obligaciones por parte del personal con relación a los riesgos y las amenazas relativos a la seguridad de la información.

2. Las personas que realicen actividades especialmente relacionadas con la seguridad de la información —en particular el personal técnico a cargo de la gestión, operación y administración de los sistemas de información— tienen que recibir las acciones formativas necesarias en materia de seguridad.

Artículo 25

Obligación de acatar la política de seguridad de la información

1. Todo el personal que preste servicio en el ámbito del Servicio de Salud conocerá y respetará el contenido de esta política de seguridad de la información y el marco normativo que la desarrolla.

2. La gestión y preservación de la seguridad de la información y el cumplimiento de los objetivos citados en el artículo 4 de este decreto deben ser el fin común de todas las personas que presten servicio directa o indirectamente en el Servicio de Salud, de tal manera que son responsables del uso correcto de los activos de tecnologías de la información y de las comunicaciones puestos a su disposición.

Artículo 26

Incumplimiento

El incumplimiento de esta política de seguridad de la información podrá suponer el inicio de las medidas disciplinarias que procedan, sin perjuicio de las responsabilidades legales que correspondan.

Disposición adicional primera

No incremento del gasto público

La aplicación de este decreto no supone incremento alguno del gasto público; por ello, lo que se establece se atenderá con los recursos humanos y materiales de los que disponga el Servicio de Salud.

Disposición adicional segunda

Publicidad de la política de seguridad de la información

Además de publicarse en el Boletín Oficial de las Illes Balears, este decreto también se publicará en las respectivas sedes electrónicas de la Administración de la Comunidad Autónoma y del Servicio de Salud.

 

Disposición adicional tercera

Denominaciones

Todas las denominaciones de órganos, cargos y colectivos de personas que en este decreto aparecen en género masculino, se entenderán referidas indistintamente al género masculino y femenino.

Disposición final primera

Aplicación y desarrollo de la política de seguridad de la información

Se autoriza al Consejo de Dirección del Servicio de Salud para dictar las medidas necesarias para aplicar y cumplir las disposiciones establecidas en este decreto.

Disposición final segunda

Entrada en vigor

Este decreto entrará en vigor el día siguiente al de su publicación en el Boletín Oficial de las Illes Balears.

Palma, 23 de febrero de 2018

La presidenta

La consejera de Innovación, Investigación y Turismo

Francesca Lluch Armengol i Socias

Isabel M. Busquets i Hidalgo

 

La consejera de Salud

Patricia Gómez Picard