POLITICAS DEL MANEJO DE LA INFORMACION DE LA CLINICA DE OCCIDENTE 1.
Código: Emisión: Fecha: Página:
AAADO0XX 1 1
OBJETIVO
El presente Manual determina los criterios de comportamiento que deben seguir los destinatarios con el fin de proteger la información relativa a la Clínica de Occidente o a la que tengan acceso en razón de cargo o relación con la Clínica de Occidente y, asimismo, contribuir a que la información pertinente sea divulgada al mercado en forma veraz, transparente y oportuna. 2.
ALCANCE
Esta política se aplica a información manual, y en cualquier medio que se produzca. La
información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel para la organización. 3.
RESPONSABLES
Los responsables de la información son: EL DUEÑO DE LA INFORMACION: Es la persona que autoriza cual es la disposición de sus datos y el manejo que estos vallan a sufrir. EL RESPONSABLE: es el quien decide qué se va a hacer con la información EL ENCARGADO: Es quien le da tratamiento. Los dos tienen una serie de deberes similares, pero quien corre con la mayor parte de la responsabilidad es el responsable. 4.
DEFINICIONES.
Información es un conjunto organizado de datos procesados, que constituyen un mensaje que cambia el estado de conocimiento del sujeto o sistema que recibe dicho mensaje, este es uno de los activos de la empresa por tanto hay que salvaguardar. Clasificación de la Información: Altamente restringida: Corresponde a la información privilegiada que puede ser utilizada por los competidores en deterioro de la Clínica de Occidente o información que no puede ser divulgada de ninguna manera. Esta incluye entre otros Información financiera, planes de negocios, nuevos servicios, estrategias, objetivos, bases de datos, información sobre salarios, información médica de los empleados y pacientes, lista de clientes, listas de precio y cualquier otra que no sea publicada. Elaborado Por:
Revisado Por:
Aprobado Por: Antonio José Dager Gerente General
POLITICAS DEL MANEJO DE LA INFORMACION DE LA CLINICA DE OCCIDENTE
Código: Emisión: Fecha: Página:
AAADO0XX 1 1
Restringida: Corresponde a la información manejada por funcionarios de la Clínica y que se comparte con proveedores o Clientes y que no debe ser conocida por terceros sin la autorización de quien la genera. En caso de ser conocida por terceros impacta de forma importante a terceros o a la institución. Ejemplo de esta están los contratos de todo tipo, lista de descuentos y propuestas o cotizaciones. Uso Interno: Es la utilizada para realizar sus labores en los procesos internos y que no puede ser conocida por terceros sin autorización del propietario. En caso de ser conocida, utilizada o modificada por personas sin la debida autorización, impactaría de forma leve a terceros o a los sistemas y/o procesos de la Clínica. Ejemplo de esta son la correspondencia interna, memos, documentos de trabajo. Pública: Esta información puede ser entregada o publicada sin restricciones a los funcionarios o a cualquier persona sin que esto implique daños a terceros ni a las actividades y procesos de la Clínica. En caso de ser conocida por terceros impacta de forma leve a terceros o a la institución. Ejemplo el portafolio de servicios, Misión, visión. Sensible: La Ley 1581 de 2012 protege en forma especial los datos que denomina “sensibles”, como los relacionados con el credo religioso, partido político, raza, salud, así como los datos de los niños, niñas y adolescentes.
5
DESCRIPCION DE LA POLITICA.
5.1 Almacenamiento de la Información. 5.1.1
Todo documento, carpeta, y otros medios de almacenamiento que contienen información Altamente restringida, Restringida, de uso interno o sensible deben ser ubicados en áreas protegidas. La función de definir los sitios de almacenamiento está asignada al El responsable.
5.1.2
Estos medios de almacenamiento de información nunca deben ser ubicados en un lugar donde visitantes o personal ajeno a la institución puedan tener acceso a ellos
5.2 Manejo de la Información Sensible Elaborado Por:
Revisado Por:
Aprobado Por: Antonio José Dager Gerente General
POLITICAS DEL MANEJO DE LA INFORMACION DE LA CLINICA DE OCCIDENTE 5.2.1
Código: Emisión: Fecha: Página:
AAADO0XX 1 1
La necesidad almacenar o no datos:
5.2.1.1 Diversos tipos de información almacenados en las bases de datos presentan varios riesgos. Pero en especial los sensibles, entonces se debe prestar particular atención en cómo se guarda la información personal Ejemplo: números tarjetas de crédito, sueldos, información financiera, datos registrados en la cédula, datos biométricos y otros datos confidenciales. 5.2.1.2 Si no existe una necesidad para un proceso específico no se debe guardar. Si existe una necesidad legítima de la información, guárdela solamente mientras sea necesario 5.2.1.3 Los medios de almacenamiento de información sensible deben ser guardados en un área segura a final de cada día laborable. 5.2.1.4 Si se deja evidencia impresa de los datos sensibles, estos deben tener un procedimiento claro para ser destruidos y dejar registro de la disposición final (Función del responsable) 5.2.2
Autorización previa:
5.2.2.1 Para guardar esta información debe contar con una autorización previa, expresa e informada de los dueños de la información. El responsable es quien debe diseñar el proceso para obtener ágilmente esta autorización 5.3 Aspectos generales del manejo de la Información de todo tipo 5.3.1
Las computadoras portátiles (“laptops”) y otros dispositivos portátiles (tales como memoria USB, etc.) que contiene información de la Clínica, debe tener instalado software de cifrado (“encryption”) y si no está siendo utilizada o no está en la posesión directa del usuario asignado, debe estar asegurada físicamente.
5.3.2
Toda información de respaldo de datos (“backup”) enviado o almacenado en medios de datos (por ejemplo, CD, discos ópticos, etc.) debe ser protegido y debe ser manejado según los procedimientos aplicable de librerías de medios políticas de seguridad vigentes de la Clínica.
5.3.3
Todas las computadoras deben ser aseguradas cuando el área de trabajo está desocupada o desatendida. El usuario debe apagar su equipo o cerrar la sesión.
Elaborado Por:
Revisado Por:
Aprobado Por: Antonio José Dager Gerente General
POLITICAS DEL MANEJO DE LA INFORMACION DE LA CLINICA DE OCCIDENTE
Código: Emisión: Fecha: Página:
AAADO0XX 1 1
5.3.4
Todo documento, carpeta, y otros medios de almacenamiento que contienen información sensible o confidencial deben ser retiradas del escritorio y asegurada en archivos de gaveta al final de la jornada de trabajo
5.3.5
Cada usuario es responsable de asegurar todo documento y medio electrónico de almacenamiento que contenga información sensible o confidencial. Este debe estar ubicado en gavetas o archivos con llave
5.3.6
Las contraseñas no pueden ser dejadas en notas en el escritorio ni en una ubicación accesible
5.3.7
Los informes impresos que contienen información sensible deben ser retirados inmediatamente de las impresoras
5.3.8
Al momento de desechar, los documentos sensibles o confidenciales deben ser destruidos en equipos especiales
5.3.9
Controles de acceso y monitoreo deben ser aplicados en áreas de oficina e instalaciones de almacenaje donde resida información restringida o confidencial.
5.3.10 Las impresoras y los equipos para facsímil (“Fax”) deben ser localizados en áreas donde el público no pueda ver información sensitiva, restringida o confidencial 5.4 Proceso de Notificación en caso de pérdida o algún evento con la Información: 5.4.1
En eventos los cuales información sensible es extraviada o es divulgada a entidades no autorizadas o si este acontecimiento incluye pérdida de cualquier equipo, medio electrónico de almacenamiento o componente tecnológico, se debe notificar inmediatamente a la Administración para que esta a su vez si se trata de datos sensibles informe a la SIC. ( Super intendencia de industria y comercio
5.5 Medidas disciplinarias: 5.5.1
Elaborado Por:
Las sanciones aplicables al personal, de acuerdo a la ocurrencia o severidad de la violación o infracción a esta política se regirán por lo establecido en la ley.
Revisado Por:
Aprobado Por: Antonio José Dager Gerente General
POLITICAS DEL MANEJO DE LA INFORMACION DE LA CLINICA DE OCCIDENTE 5.5.2
Código: Emisión: Fecha: Página:
AAADO0XX 1 1
LA CLÍNICA se reserva la facultad de aplicar la sanción más severa, en este caso el despido, en aquella ocasión en que la gravedad o seriedad de la infracción no amerite permitir que se repita en una futura ocasión:
5.6 Vigencia: 5.6.1 5.6.2
Elaborado Por:
Esta Política deja sin efecto cualquier circular, carta o política anteriormente emitido sobre los aspectos aquí cubiertos La Administración, mediante la implantación de esta política, debe asegurar mediante su difusión que esta es asumida y respetada por todos los empleados de la Clínica
Revisado Por:
Aprobado Por: Antonio José Dager Gerente General