Decreto 2/2018, de 23 de febrero, por el que se aprueba la política de seguridad de la información del Servicio de Salud de las Illes Balears
| Sección | I. Disposiciones generales |
| Emisor | CONSEJO DE GOBIERNO |
| Rango de Ley | Decreto |
El Servicio de Salud de las Illes Balears es un ente público de carácter autónomo, adscrito a la Consejería de Salud del Gobierno de las Illes Balears, dotado de personalidad jurídica y patrimonio propios, con plena capacidad de obrar para el cumplimiento de sus fines, al que se confía la gestión de los servicios públicos sanitarios de carácter asistencial. De conformidad con la Ley 5/2003, de 4 de abril, de Salud de las Illes Balears, los objetivos fundamentales del Servicio de Salud consisten en participar en la definición de las prioridades de la atención sanitaria a partir de las necesidades de salud de la población y dar efectividad al catálogo de prestaciones y servicios que se pone al servicio de la población con la finalidad de proteger la salud; distribuir de manera óptima los medios económicos asignados a la financiación de los servicios y de las prestaciones sanitarias; garantizar que las prestaciones se gestionen de manera eficiente; garantizar, evaluar y mejorar la calidad del servicio al ciudadano, tanto en la asistencia como en el trato; promover la participación de los profesionales en la gestión del sistema sanitario balear y fomentar la motivación profesional, y promover la formación, la docencia y la investigación en el ámbito de la salud.
Hay que considerar que la información que recaba y gestiona el Servicio de Salud en el ejercicio de sus competencias constituye un activo esencial para cumplir adecuadamente los objetivos reseñados, y que el funcionamiento correcto de los sistemas de información que albergan y gestionan dichos datos es imprescindible para el ejercicio adecuado, eficaz y eficiente de las obligaciones atribuidas en materia de asistencia y de gestión sanitaria. Por tanto, asume la responsabilidad asociada a la protección de esos datos frente a las amenazas que puedan afectar a su seguridad.
Los beneficios de la implantación de las tecnologías de la información en los entornos sanitarios son más que evidentes, pues facilitan la prestación de servicios sanitarios con coherencia y cohesión desde los distintos niveles asistenciales, en especial en un ámbito geográfico caracterizado por la insularidad, lo cual no hace sino potenciar aun más los beneficios de estas tecnologías. No obstante, en este entorno la seguridad de la información es claramente un imperativo, pues la información gestionada en este ámbito está sometida a unos requisitos de seguridad muy exigentes.
El artículo 11 del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica, establece que todos los órganos superiores de las administraciones públicas deben tener una política de seguridad de la información, aprobada por el titular del órgano superior correspondiente.
Por su parte, el Decreto 97/2006, de 24 de noviembre, regula las comisiones para la mejora continua de la seguridad de la información en la Administración de la Comunidad Autónoma de las Illes Balears. De acuerdo con dicho decreto, la Comisión Directora de Seguridad de la Información emitió el informe correspondiente sobre el presente decreto.
Dada la materia que se está regulando, que afecta a la seguridad de la información, muchas veces referida a datos especialmente protegidos, resulta conveniente que la regulación de esta política de seguridad de la información se realice por vía de decreto, teniendo en cuenta, además, que todavía no se ha aprobado la política de seguridad de la información para el resto de la Administración de la Comunidad Autónoma.
Este decreto tiene por objeto desarrollar un aspecto específico del acceso electrónico de los ciudadanos a los servicios públicos, que es el de la seguridad.
De acuerdo con el Decreto 24/2015, de 7 de agosto, de la presidenta de las Illes Balears, por el que se establecen las competencias y la estructura orgánica básica de las consejerías de la Administración de la Comunidad Autónoma de las Illes Balears, la Vicepresidencia y la Consejería de Innovación, Investigación y Turismo —mediante la Dirección General de Desarrollo Tecnológico— tiene competencia en materia de seguridad de la información de los recursos tecnológicos. Por otra parte, el Servicio de Salud está adscrito a la Consejería de Salud y debe organizar la planificación de la seguridad de la información en su ámbito. Esta Consejería —mediante la Dirección General de General de Planificación, Evaluación y Farmacia— se encarga de la planificación y la ordenación de la asistencia sanitaria, uno de cuyos aspectos es la seguridad de la información que se maneja.
En consecuencia, a propuesta de la consejera de Innovación, Investigación y Turismo y de la consejera de Salud, oído el Consejo Consultivo de las Illes Balears y habiéndolo considerado previamente el Consejo de Gobierno en la sesión del 23 de febrero de 2018
DECRETO
Aspectos generales
Objeto
Este decreto tiene por objeto definir la política de seguridad de la información del Servicio de Salud de las Illes Balears.
Ámbito de aplicación
-
La política de seguridad de la información del Servicio de Salud es aplicable con carácter obligatorio a todas las unidades administrativas y a todos los órganos del Servicio de Salud, y también a los entes que —en su caso— estén adscritos a éste, por lo que debe observarla todo el personal que preste servicio en ellos.
-
Asimismo es aplicable a los centros privados que estén incorporados al sistema sanitario público de las Illes Balears por medio de acuerdos, convenios u otras fórmulas de gestión integrada o compartida. Dicha política de seguridad debe ser observada por su personal.
-
La política de seguridad de la información también es aplicable y de obligado cumplimiento para las personas que, aunque no presten servicio directamente en el Servicio de Salud o en algún ente adscrito a éste, tengan acceso a la información o a los sistemas que gestionan dicha información.
-
La política de seguridad de la información incluye todos los sistemas de información gestionados por el Servicio de Salud.
Definiciones
A los efectos de la política de seguridad de la información del Servicio de Salud, son aplicables las definiciones que establece el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la administración electrónica. Asimismo, se definen los siguientes conceptos:
-
Responsable de la información: persona que tiene la potestad de establecer los requisitos de una información en materia de seguridad.
-
Responsable de la seguridad de la información: persona que determina las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.
-
Responsable del servicio: persona que tiene la potestad de establecer los requisitos de un servicio en materia de seguridad.
-
Responsable del sistema: persona que se encarga de la explotación del sistema de información.
Misión
A efectos de este decreto, el Servicio de Salud actúa de conformidad con la Ley 5/2003, de 4 de abril, de Salud de las Illes Balears, y tiene por misión mantener unos adecuados niveles de seguridad y protección frente a amenazas a la información que gestiona, que es el activo fundamental para cumplir sus objetivos.
Objetivos
El Servicio de Salud asume los siguientes objetivos en materia de seguridad de la información:
1) Establecer las pautas necesarias para garantizar en todo momento la seguridad de la información a través de directrices con objeto de preservar, proteger y consolidar la seguridad de los servicios y los activos de información con el objetivo de mejorar la calidad de los servicios que se prestan a los ciudadanos.
2) Garantizar la implantación de las medidas y de los mecanismos de seguridad apropiados para proteger los servicios prestados, los sistemas de información utilizados para prestarlos y la información procesada, almacenada o transmitida por éstos, de manera coherente con los riesgos afrontados.
3) Asegurar que se cumpla la normativa vigente en materia de seguridad y protección de datos a las que el Servicio de Salud deba someterse.
4) Garantizar la eficacia de las medidas de seguridad implantadas por medio de evaluaciones y auditorías.
5) Establecer una estructura organizativa adecuada para la gestión de la seguridad de la información definiendo los roles y los comités necesarios, además de las funciones y las respectivas responsabilidades.
6) Garantizar la operación continuada y adecuada de los servicios y de los sistemas actuando para prevenir, detectar, reaccionar y operar de manera oportuna ante los incidentes de seguridad que se produzcan, y velar por la implantación de los mecanismos necesarios que aseguren la continuidad de las actividades críticas permitiendo que éstas se recuperen en un periodo de tiempo aceptable.
7) Impulsar y fomentar la formación, la concienciación y el cumplimento de las obligaciones en materia de seguridad de la información del personal al servicio de la organización, a fin de garantizar el conocimiento de las políticas y las normativas aprobadas y de las prácticas recomendadas, con el objetivo último de lograr que la seguridad de la información se convierta en un factor inherente al desarrollo de las funciones y de las operativas cotidianas.
8) Promover que las actividades destinadas a lograr los niveles de seguridad requeridos se estructuren y se conciban como un proceso de mejora continua, y no como acciones o esfuerzos puntuales, sustentándolo en el análisis y la gestión sistematizados de los riesgos.
Marco normativo
-
El diseño, operación, uso y administración de la información, de los sistemas de información y de los servicios del Servicio de Salud deben cumplir...
Para continuar leyendo
Solicita tu prueba