{"id":9751,"date":"2025-12-11T15:13:06","date_gmt":"2025-12-11T13:13:06","guid":{"rendered":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/?page_id=9751"},"modified":"2026-02-05T13:55:24","modified_gmt":"2026-02-05T11:55:24","slug":"politica-seguridad-de-la-informacion","status":"publish","type":"page","link":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/politica-seguridad-de-la-informacion\/","title":{"rendered":"Pol\u00edtica Seguridad de la informaci\u00f3n"},"content":{"rendered":"<div class=\"fusion-fullwidth fullwidth-box fusion-builder-row-1 fusion-flex-container has-pattern-background has-mask-background nonhundred-percent-fullwidth non-hundred-percent-height-scrolling politica-de-seguridad\" style=\"--awb-border-radius-top-left:0px;--awb-border-radius-top-right:0px;--awb-border-radius-bottom-right:0px;--awb-border-radius-bottom-left:0px;--awb-padding-top:0px;--awb-padding-right:0px;--awb-padding-bottom:0px;--awb-padding-left:0px;--awb-padding-top-medium:0px;--awb-padding-right-medium:0px;--awb-padding-bottom-medium:0px;--awb-padding-left-medium:0px;--awb-padding-top-small:0px;--awb-padding-right-small:0px;--awb-padding-bottom-small:0px;--awb-padding-left-small:0px;--awb-margin-top:0px;--awb-margin-bottom:0px;--awb-margin-top-medium:0px;--awb-margin-bottom-medium:0px;--awb-margin-top-small:0px;--awb-margin-bottom-small:0px;--awb-flex-wrap:wrap;\" ><div class=\"fusion-builder-row fusion-row fusion-flex-align-items-flex-start fusion-flex-content-wrap\" style=\"max-width:1248px;margin-left: calc(-4% \/ 2 );margin-right: calc(-4% \/ 2 );\"><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-0 fusion-flex-column\" style=\"--awb-padding-right:5%;--awb-padding-left:5%;--awb-padding-right-small:0px;--awb-padding-bottom-small:0px;--awb-padding-left-small:0px;--awb-bg-size:cover;--awb-width-large:20%;--awb-margin-top-large:0px;--awb-spacing-right-large:9.6%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:0%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.92%;--awb-spacing-left-medium:0%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.92%;--awb-spacing-left-small:0%;\" data-scroll-devices=\"small-visibility,medium-visibility,large-visibility\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><nav class=\"legal-menu\">\n    <ul style=\"list-style-type: none; padding-inline-start: 0px;\">\n        <li><a href=\"#Introduccion\" class=\"fusion-one-page-text-link\">1. INTRODUCCI\u00d3N<\/a><\/li>\n        <li><a href=\"#Mision\" class=\"fusion-one-page-text-link\">2. MISI\u00d3N<\/a><\/li>\n        <li><a href=\"#Alcance\" class=\"fusion-one-page-text-link\">3. ALCANCE<\/a><\/li>\n        <li><a href=\"#Terminologia\" class=\"fusion-one-page-text-link\">4. TERMINOLOG\u00cdA: DEFINICIONES Y SIGLAS<\/a><\/li>\n        <li><a href=\"#Responsabilidades\" class=\"fusion-one-page-text-link\">5. RESPONSABILIDADES<\/a><\/li>\n        <li><a href=\"#Gestion_Riesgos\" class=\"fusion-one-page-text-link\">6. GESTI\u00d3N DE RIESGOS<\/a><\/li>\n        <li><a href=\"#Obligaciones_Personal\" class=\"fusion-one-page-text-link\">7. OBLIGACIONES DEL PERSONAL<\/a><\/li>\n        <li><a href=\"#Terceras_Partes\" class=\"fusion-one-page-text-link\">8. TERCERAS PARTES<\/a><\/li>\n        <li><a href=\"#Referencias\" class=\"fusion-one-page-text-link\">9. REFERENCIAS<\/a><\/li>\n    <\/ul>\n<\/nav><\/div><\/div><div class=\"fusion-layout-column fusion_builder_column fusion-builder-column-1 fusion-flex-column\" style=\"--awb-bg-size:cover;--awb-width-large:80%;--awb-margin-top-large:0px;--awb-spacing-right-large:2.4%;--awb-margin-bottom-large:20px;--awb-spacing-left-large:2.4%;--awb-width-medium:100%;--awb-order-medium:0;--awb-spacing-right-medium:1.92%;--awb-spacing-left-medium:1.92%;--awb-width-small:100%;--awb-order-small:0;--awb-spacing-right-small:1.92%;--awb-spacing-left-small:1.92%;\" data-scroll-devices=\"small-visibility,medium-visibility,large-visibility\"><div class=\"fusion-column-wrapper fusion-column-has-shadow fusion-flex-justify-content-flex-start fusion-content-layout-column\"><div id=\"CajaMayor\">\n    <h4 id=\"Introduccion\"><span>1. INTRODUCCI\u00d3N<\/span><\/h4>\n    <p><strong>Viamed SALUD, S.L<\/strong>, en adelante (Viamed), depende de los sistemas TIC (Tecnolog\u00edas de Informaci\u00f3n y Comunicaciones) para alcanzar sus objetivos de negocio. Estos sistemas deben ser administrados con diligencia, tomando las medidas adecuadas para protegerlos frente a da\u00f1os accidentales o deliberados que puedan afectar a la disponibilidad, integridad o confidencialidad de la informaci\u00f3n tratada o los servicios prestados.<\/p>\n    <p>El objetivo de la seguridad de la informaci\u00f3n es garantizar la calidad de la informaci\u00f3n y la prestaci\u00f3n continuada de los servicios, actuando preventivamente, supervisando la actividad diaria y reaccionando con presteza a los incidentes.<\/p>\n    <p>Los sistemas TIC deben estar protegidos contra amenazas de r\u00e1pida evoluci\u00f3n con potencial para incidir en la confidencialidad, integridad, disponibilidad, uso previsto y valor de la informaci\u00f3n y los servicios. Para defenderse de estas amenazas, se requiere una estrategia que se adapte a los cambios en las condiciones del entorno para garantizar la prestaci\u00f3n continua de los servicios. Esto implica que los departamentos deben aplicar las medidas m\u00ednimas de seguridad exigidas por el Esquema Nacional de Seguridad, as\u00ed como realizar un seguimiento continuo de los niveles de prestaci\u00f3n de servicios, seguir y analizar las vulnerabilidades reportadas, y preparar una respuesta efectiva a los incidentes para garantizar la continuidad de los servicios prestados.<\/p>\n    <p>Los diferentes departamentos deben cerciorarse de que la seguridad TIC es una parte integral de cada etapa del ciclo de vida del sistema, desde su concepci\u00f3n hasta su retirada de servicio, pasando por las decisiones de desarrollo o adquisici\u00f3n y las actividades de explotaci\u00f3n. Los requisitos de seguridad y las necesidades de financiaci\u00f3n deben ser identificados e incluidos en la planificaci\u00f3n, en la solicitud de ofertas, y en pliegos de licitaci\u00f3n para proyectos de TIC.<\/p>\n    <p>Los departamentos deben estar preparados para prevenir, detectar, reaccionar y recuperarse de incidentes, de acuerdo con el Art\u00edculo 7 del ENS.<\/p>\n    <h4>PREVENCI\u00d3N<\/h4>\n    <p>Todos los centros y departamentos de Viamed deben evitar, o al menos prevenir en la medida de lo posible, que la informaci\u00f3n o los servicios se vean perjudicados por incidentes de seguridad. Para ello deben implementar las medidas m\u00ednimas de seguridad determinadas por el ENS, as\u00ed como cualquier control adicional identificado a trav\u00e9s de una evaluaci\u00f3n de amenazas y riesgos. Estos controles, y los roles y responsabilidades de seguridad de todo el personal, deben estar claramente definidos y documentados.<\/p>\n    <p>Para garantizar el cumplimiento de la pol\u00edtica, los centros y departamentos deben:<\/p>\n    <div class=\"prevencion\">\n        <ul>\n            <li>Autorizar los sistemas antes de entrar en operaci\u00f3n.<\/li>\n            <li>Evaluar regularmente la seguridad, incluyendo evaluaciones de los cambios de configuraci\u00f3n realizados de forma rutinaria.<\/li>\n        <\/ul>\n    <\/div>\n    <h4>DETECCI\u00d3N<\/h4>\n    <p>Dado que los servicios se pueden degradar r\u00e1pidamente debido a incidentes, desde una simple desaceleraci\u00f3n hasta su detenci\u00f3n, responsable de seguridad (CISO) y de sistemas deben monitorizar la operaci\u00f3n de manera continua para detectar anomal\u00edas en los niveles de prestaci\u00f3n de los servicios y actuar en consecuencia seg\u00fan lo establecido en el Art\u00edculo 9 del ENS.<\/p>\n    <p>La monitorizaci\u00f3n es especialmente relevante cuando se establecen l\u00edneas de defensa de acuerdo con el Art\u00edculo 8 del ENS. El responsable de seguridad (CISO) y de sistemas establecer\u00e1n mecanismos de detecci\u00f3n, an\u00e1lisis y reporte que lleguen a los responsables regularmente y cuando se produce una desviaci\u00f3n significativa de los par\u00e1metros que se hayan preestablecido como normales.<\/p>\n    <h4>RESPUESTA<\/h4>\n    <p>Los centros y departamentos deben:<\/p>\n    <div class=\"repuesta\">\n        <ul>\n            <li>Establecer mecanismos para responder eficazmente a los incidentes de seguridad.<\/li>\n            <li>Designar un punto de contacto para las comunicaciones con respecto a incidentes detectados en otros departamentos o en otros organismos.<\/li>\n            <li>Establecer protocolos para el intercambio de informaci\u00f3n relacionada con el incidente. Esto incluye comunicaciones, en ambos sentidos, con los Equipos de Respuesta a Emergencias (CERT).<\/li>\n        <\/ul>\n    <\/div>\n    <h4 id=\"Mision\"><span>2. MISI\u00d3N<\/span><\/h4>\n    <p>Como respuesta a un nuevo entorno tecnol\u00f3gico donde la convergencia entre la inform\u00e1tica y las comunicaciones est\u00e1n facilitando un nuevo paradigma de productividad para las empresas, Viamed est\u00e1 altamente comprometido con proporcionar cuidados m\u00e9dicos y de salud de calidad, seguros y eficaces a nuestros pacientes y residentes con los medios apropiados y con la m\u00e1xima profesionalidad y empat\u00eda, donde el desarrollo de buenas pr\u00e1cticas en Seguridad de la Informaci\u00f3n es fundamental para conseguir los objetivos de confidencialidad, integridad, disponibilidad y legalidad de toda la informaci\u00f3n gestionada. En consecuencia, a lo anterior, Viamed, define los siguientes objetivos y principios de aplicaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI):<\/p>\n    <div class=\"politica-seguridad\">\n        <ol>\n            <li>Implementar el valor de la Seguridad de la Informaci\u00f3n en el conjunto de Viamed.<\/li>\n            <li>Contribuir, todas y cada una de las personas de Viamed, a la protecci\u00f3n de la Seguridad de la Informaci\u00f3n.<\/li>\n            <li>Preservar la confidencialidad, integridad, disponibilidad y resiliencia de la informaci\u00f3n, con el objetivo de garantizar que se cumplan los requisitos legales, normativos, y de nuestros clientes, relativos a la seguridad de la informaci\u00f3n; y de forma espec\u00edfica en lo que respecta a datos de car\u00e1cter personal: <ol type=\"I\">\n                    <li>Ser\u00e1n tratados de manera l\u00edcita, leal y transparente en relaci\u00f3n con el interesado (Licitud, lealtad y transparencia).<\/li>\n                    <li>Ser\u00e1n recogidos con fines determinados, expl\u00edcitos y leg\u00edtimos, y no ser\u00e1n tratados ulteriormente de manera incompatible con dichos fines (Limitaci\u00f3n de la finalidad).<\/li>\n                    <li>Ser\u00e1n adecuados, pertinentes y limitados a lo necesario en relaci\u00f3n con los fines para los que son tratados (Minimizaci\u00f3n de datos).<\/li>\n                    <li>Deber\u00e1n ser exactos y, si fuera necesario, actualizados; se adoptar\u00e1n todas las medidas razonables para que se supriman o rectifiquen sin dilaci\u00f3n los datos personales que sean inexactos con respecto a los fines para los que se tratan (Exactitud).<\/li>\n                    <li>Ser\u00e1n mantenidos de forma que se permita la identificaci\u00f3n de los interesados durante no m\u00e1s tiempo del necesario para los fines del tratamiento de los datos personales; los datos personales podr\u00e1n conservarse durante per\u00edodos m\u00e1s largos siempre que se traten exclusivamente con fines de archivo en inter\u00e9s p\u00fablico, fines de investigaci\u00f3n cient\u00edfica o hist\u00f3rica o fines estad\u00edsticos (Limitaci\u00f3n del plazo de conservaci\u00f3n).<\/li>\n                    <li>Ser\u00e1n tratados de manera que se garantice una seguridad adecuada de los datos personales, incluida la protecci\u00f3n contra el tratamiento no autorizado o il\u00edcito y contra su p\u00e9rdida, destrucci\u00f3n o da\u00f1o accidental, mediante la aplicaci\u00f3n de medidas t\u00e9cnicas u organizativas apropiadas (Integridad y confidencialidad).<\/li>\n                <\/ol>\n            <\/li>\n            <li>Proteger los activos de la informaci\u00f3n de Viamed de amenazas, ya sean internas o externas, deliberadas o accidentales, con el objetivo de garantizar la continuidad del servicio ofrecido a nuestros clientes y la seguridad de la informaci\u00f3n.<\/li>\n            <li>Establecer un plan de seguridad de la informaci\u00f3n que integre las actividades de prevenci\u00f3n y minimizaci\u00f3n del riesgo de los incidentes de seguridad en base a los criterios de gesti\u00f3n del riesgo establecidos por Viamed.<\/li>\n            <li>Proporcionar los medios necesarios para poder realizar las actuaciones pertinentes de cara a la gesti\u00f3n de los riesgos identificados.<\/li>\n            <li>Asumir la responsabilidad en materia de concienciaci\u00f3n y formaci\u00f3n en materia de seguridad de la informaci\u00f3n como medio para garantizar el cumplimiento de esta pol\u00edtica.<\/li>\n            <li>Extender nuestro compromiso con la seguridad de la informaci\u00f3n a nuestro personal trabajador y proveedores.<\/li>\n            <li>Mejorar continuamente la seguridad mediante el establecimiento y seguimiento peri\u00f3dico de objetivos de seguridad de la informaci\u00f3n.<\/li>\n        <\/ol>\n    <\/div>\n    <p>Esta Pol\u00edtica ser\u00e1 mantenida, actualizada y adecuada a los fines de Viamed, aline\u00e1ndose con el contexto de gesti\u00f3n de riesgos de Viamed. De igual forma, para gestionar los riesgos que afronta Viamed se establece un procedimiento de evaluaci\u00f3n de riesgos formalmente definido. Por su parte, todas las pol\u00edticas y procedimientos incluidos en el SGSI ser\u00e1n revisados, aprobados e impulsados por la Direcci\u00f3n de Viamed.<\/p>\n    <h4 id=\"Alcance\"><span>3. ALCANCE<\/span><\/h4>\n    <p>Esta pol\u00edtica se aplica a todas las personas, sistemas y medios que accedan, procesen, almacenen, transmitan o utilicen informaci\u00f3n perteneciente, gestionada o custodiada por Viamed en relaci\u00f3n con los procesos aqu\u00ed descritos.<\/p>\n    <h4 id=\"Terminologia\"><span>4. TERMINOLOG\u00cdA: DEFINICIONES Y SIGLAS<\/span><\/h4>\n    <div class=\"glosario-seguridad\">\n        <ul>\n            <li><strong>ENS:<\/strong> Esquema Nacional de Seguridad.<\/li>\n            <li><strong>Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI):<\/strong> Sistema de gesti\u00f3n que, basado en el estudio de los riesgos, se establece para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la informaci\u00f3n. El sistema de gesti\u00f3n incluye la estructura organizativa, las pol\u00edticas, las actividades de planificaci\u00f3n, las responsabilidades, las pr\u00e1cticas, los procedimientos, los procesos y los recursos.<\/li>\n            <li><strong>TIC:<\/strong> Tecnolog\u00edas de la Informaci\u00f3n y la Comunicaci\u00f3n.<\/li>\n            <li><strong>Sistema de Informaci\u00f3n:<\/strong> Conjunto organizado de recursos para que la informaci\u00f3n se pueda recoger, almacenar, procesar o tratar, mantener, usar, compartir, distribuir, poner a disposici\u00f3n, presentar o transmitir.<\/li>\n            <li><strong>Riesgo:<\/strong> Estimaci\u00f3n del grado de exposici\u00f3n a que una amenaza se materialice sobre uno o m\u00e1s activos causando da\u00f1os o perjuicios a la organizaci\u00f3n.<\/li>\n            <li><strong>Gesti\u00f3n de riesgos:<\/strong> Actividades coordinadas para dirigir y controlar una organizaci\u00f3n con respecto a los riesgos.<\/li>\n            <li><strong>Disponibilidad:<\/strong> Es necesario garantizar que los recursos del sistema se encontrar\u00e1n disponibles cuando se necesiten, especialmente la informaci\u00f3n cr\u00edtica.<\/li>\n            <li><strong>Integridad:<\/strong> La informaci\u00f3n del sistema ha de estar disponible tal y como se almacen\u00f3 por un agente autorizado.<\/li>\n            <li><strong>Confidencialidad:<\/strong> La informaci\u00f3n s\u00f3lo ha de estar disponible para agentes autorizados, especialmente su propietario.<\/li>\n            <li><strong>Autenticidad:<\/strong> Se debe asegurar la identidad u origen de la informaci\u00f3n.<\/li>\n            <li><strong>Trazabilidad:<\/strong> Se debe asegurar para ciertos datos qui\u00e9n hizo qu\u00e9 y en qu\u00e9 momento.<\/li>\n        <\/ul>\n    <\/div>\n    <h4 id=\"Responsabilidades\"><span>5. RESPONSABILIDADES<\/span><\/h4>\n    <p>La Direcci\u00f3n de Viamed se encarga de realizar unos nombramientos para designar roles y responsabilidades en seguridad de la informaci\u00f3n, as\u00ed como se encarga de establecer los comit\u00e9s necesarios para velar por el cumplimiento de esta pol\u00edtica. Estos nombramientos y estructuras internas permanecer\u00e1n en documentos internos.<\/p>\n    <p><strong>Comit\u00e9 de Seguridad de la Informaci\u00f3n<\/strong><\/p>\n    <p>Se ha establecido un comit\u00e9 de seguridad de la informaci\u00f3n, formado por:<\/p>\n    <div class=\"roles-seguridad\">\n        <ul>\n            <li>Director General (CEO)<\/li>\n            <li>Responsable de seguridad (CISO)<\/li>\n            <li>Responsable de los sistemas (Director Corporativo de Tecnolog\u00edas de la Informaci\u00f3n)<\/li>\n            <li>Responsable de protecci\u00f3n de datos (Delegado de Protecci\u00f3n de datos de Viamed)<\/li>\n            <li>Responsable de la informaci\u00f3n (Delegada de Protecci\u00f3n de datos de Viamed)<\/li>\n            <li>Responsable del servicio (Directora de Calidad y Riesgos)<\/li>\n            <li>Directora Corporativa de Transformaci\u00f3n<\/li>\n            <li>Responsable funcional de HIS y Ciberseguridad<\/li>\n        <\/ul>\n    <\/div>\n    <p>Este comit\u00e9 de seguridad de la informaci\u00f3n tiene las siguientes funciones y responsabilidades:<\/p>\n    <div class=\"responsabilidades-comite\">\n        <ul>\n            <li>Atender las inquietudes de la direcci\u00f3n y de sistemas.<\/li>\n            <li>Obtener una fotograf\u00eda del estado de la seguridad de la informaci\u00f3n.<\/li>\n            <li>Promover la mejora continua del SGSI.<\/li>\n            <li>Elaborar la estrategia de evoluci\u00f3n.<\/li>\n            <li>Revisar la normativa y procedimientos relacionados con la seguridad de la informaci\u00f3n al menos cada tres a\u00f1os.<\/li>\n            <li>Aprobar esta Pol\u00edtica de Seguridad de la informaci\u00f3n y difundida para que la conozcan todas las partes afectadas.<\/li>\n            <li>Revisar anualmente esta Pol\u00edtica de Seguridad de la Informaci\u00f3n y proponer su revisi\u00f3n o mantenimiento.<\/li>\n            <li>Aprobar los requisitos de formaci\u00f3n.<\/li>\n            <li>Priorizar actuaciones.<\/li>\n            <li>Promover la realizaci\u00f3n de auditor\u00edas del SGSI y t\u00e9cnicas.<\/li>\n            <li>Comprobar que la Seguridad de la Informaci\u00f3n est\u00e1 presente en todos los proyectos.<\/li>\n            <li>Las reuniones del comit\u00e9 se convocar\u00e1n con la periodicidad m\u00ednima anual.<\/li>\n            <li>Las reuniones ordinarias ser\u00e1n convocadas por escrito (email) con al menos 7 d\u00edas de antelaci\u00f3n por el presidente o secretario de la Comisi\u00f3n, incluyendo el Orden del d\u00eda.<\/li>\n            <li>La documentaci\u00f3n que deba ser revisada antes de la reuni\u00f3n se enviar\u00e1 preferentemente junto con la convocatoria y, en caso de no ser posible, con una antelaci\u00f3n m\u00ednima de 2 d\u00edas laborables.<\/li>\n            <li>Se podr\u00e1n convocar, adem\u00e1s, reuniones extraordinarias a propuesta de cualquiera de los miembros.<\/li>\n        <\/ul>\n    <\/div>\n    <p><strong>Roles y responsabilidades en materia de seguridad de la informaci\u00f3n<\/strong><\/p>\n    <div class=\"roles-responsabilidades\">\n        <p><strong>Direcci\u00f3n General (CEO)<\/strong><\/p>\n        <ul>\n            <li>Participa en la elaboraci\u00f3n y establecimiento de objetivos y mediciones. Aprueba las revisiones del SGSI. Valida las conclusiones de las auditor\u00edas de sistemas.<\/li>\n            <li>La direcci\u00f3n ejecutiva establece el organigrama de Viamed que contiene m\u00e1s funciones y roles de los que se especifican aqu\u00ed. En esta pol\u00edtica detallamos los responsables relacionados con la seguridad de la informaci\u00f3n.<\/li>\n        <\/ul>\n        <p><strong>Responsable de seguridad (CISO)<\/strong><\/p>\n        <ul>\n            <li>Promover la seguridad de la informaci\u00f3n manejada y de los servicios electr\u00f3nicos prestados por los sistemas de informaci\u00f3n, con la responsabilidad y autoridad para asegurarse de que el Sistema de Gesti\u00f3n de la Seguridad de la Informaci\u00f3n cumple con los requisitos del ENS.<\/li>\n            <li>Supervisar el cumplimiento de la presente Pol\u00edtica, de sus normas, procedimientos derivados y de la configuraci\u00f3n de seguridad de los sistemas.<\/li>\n            <li>Establecer las medidas de seguridad adecuadas y eficaces para cumplir los requisitos de seguridad establecidos por los Responsables del Servicio y de la Informaci\u00f3n, siguiendo lo exigido en el Anexo II del ENS, declarando la aplicabilidad de dichas medidas.<\/li>\n            <li>Promover las actividades de concienciaci\u00f3n y formaci\u00f3n en materia de seguridad en su \u00e1mbito de responsabilidad.<\/li>\n            <li>Realizar la coordinaci\u00f3n y seguimiento de la implantaci\u00f3n de los proyectos de adecuaci\u00f3n a la norma ENS, en colaboraci\u00f3n con el Responsable de Sistemas.<\/li>\n            <li>Realizar con la colaboraci\u00f3n del Responsable del Sistema, los preceptivos an\u00e1lisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gesti\u00f3n del riesgo. Asimismo, junto al Responsable del Sistema, aceptar los riesgos residuales calculados en el an\u00e1lisis de riesgos.<\/li>\n            <li>Promover auditor\u00edas peri\u00f3dicas para verificar el cumplimiento de las obligaciones en materia de seguridad de la informaci\u00f3n y analizar los informes de auditor\u00eda, elaborando las conclusiones a presentar al Responsable del Sistema para que adopte las medidas correctoras adecuadas.<\/li>\n            <li>Coordinar el proceso de Gesti\u00f3n de la Seguridad, en colaboraci\u00f3n con el Responsable de Sistemas. <ul>\n                    <li>Determinar la categor\u00eda del sistema seg\u00fan el procedimiento descrito en el Anexo I del ENS y las medidas de seguridad que deben aplicarse de acuerdo con lo previsto en el Anexo II del ENS.<\/li>\n                    <li>Verificar que las medidas de seguridad son adecuadas para la protecci\u00f3n de la informaci\u00f3n y los servicios.<\/li>\n                <\/ul>\n            <\/li>\n        <\/ul>\n        <p><strong>Responsable del sistema<\/strong><\/p>\n        <ul>\n            <li>Desarrollar, operar y mantener el sistema de Informaci\u00f3n durante todo su ciclo de vida, de sus especificaciones, instalaci\u00f3n y verificaci\u00f3n de su correcto funcionamiento.<\/li>\n            <li>Cerciorarse de que las medidas espec\u00edficas de seguridad se integren adecuadamente dentro del marco general de seguridad.<\/li>\n            <li>Realizar ejercicios y pruebas sobre los procedimientos operativos de seguridad y los planes de continuidad existentes.<\/li>\n            <li>Implantar las medidas necesarias para garantizar la seguridad del sistema durante todo su ciclo de vida, de acuerdo con el Responsable de seguridad (CISO).<\/li>\n            <li>Realizar con la colaboraci\u00f3n del Responsable de seguridad (CISO), los preceptivos an\u00e1lisis de riesgos, de seleccionar las salvaguardas a implantar y de revisar el proceso de gesti\u00f3n del riesgo. Asimismo, junto al Responsable de seguridad (CISO), aceptar los riesgos residuales calculados en el an\u00e1lisis de riesgos.<\/li>\n            <li>Elaborar en colaboraci\u00f3n con el Responsable de seguridad (CISO), la documentaci\u00f3n de seguridad de tercer nivel (Procedimientos Operativos STIC e Instrucciones T\u00e9cnicas STIC).<\/li>\n            <li>La aplicaci\u00f3n de los procedimientos operativos de seguridad.<\/li>\n            <li>Asegurar que los controles de seguridad establecidos son cumplidos estrictamente, as\u00ed como asegurar que son aplicados los procedimientos aprobados para manejar el sistema de informaci\u00f3n.<\/li>\n            <li>Supervisar las instalaciones de hardware y software, sus modificaciones y mejoras para asegurar que la seguridad no est\u00e1 comprometida y que en todo momento se ajustan a las autorizaciones pertinentes.<\/li>\n            <li>Monitorizar el estado de seguridad del sistema proporcionado por las herramientas de gesti\u00f3n de eventos de seguridad y mecanismos de auditor\u00eda t\u00e9cnica implementados en el sistema.<\/li>\n            <li>Informar a los respectivos responsables de cualquier anomal\u00eda, compromiso o vulnerabilidad relacionada con la seguridad.<\/li>\n            <li>Colaborar en la investigaci\u00f3n y resoluci\u00f3n de incidentes de seguridad, desde su detecci\u00f3n hasta su resoluci\u00f3n.<\/li>\n        <\/ul>\n        <p><strong>Responsable de protecci\u00f3n de datos<\/strong><\/p>\n        <ul>\n            <li>Informar y asesorar al responsable del tratamiento y a sus empleados de las obligaciones que les incumben en relaci\u00f3n al RGPD y otras disposiciones de protecci\u00f3n de datos.<\/li>\n            <li>Supervisar el cumplimiento de lo dispuesto en el presente Reglamento, de otras disposiciones de protecci\u00f3n de datos de la Uni\u00f3n o de los Estados miembros y de las pol\u00edticas del responsable o del encargado del tratamiento en materia de protecci\u00f3n de datos personales, incluida la asignaci\u00f3n de responsabilidades, la concienciaci\u00f3n y formaci\u00f3n del personal que participa en las operaciones de tratamiento, y las auditor\u00edas correspondientes.<\/li>\n            <li>Ofrecer el asesoramiento que se le solicite acerca de la evaluaci\u00f3n de impacto relativa a la protecci\u00f3n de datos y supervisar su aplicaci\u00f3n de conformidad con el art\u00edculo 35.<\/li>\n            <li>Cooperar con la autoridad de control.<\/li>\n            <li>Actuar como punto de contacto de la autoridad de control para cuestiones relativas al tratamiento, incluida la consulta previa a que se refiere el art\u00edculo 36, y realizar consultas, en su caso, sobre cualquier otro asunto.<\/li>\n        <\/ul>\n        <p><strong>Responsable del servicio<\/strong><\/p>\n        <ul>\n            <li>Establecer los requisitos del servicio en materia de seguridad, incluyendo los requisitos de interoperabilidad, accesibilidad y disponibilidad.<\/li>\n            <li>Determinar los niveles de seguridad del servicio, de acuerdo con el Responsable de seguridad (CISO) y el Responsable del Sistema.<\/li>\n            <li>Mantener la seguridad de la informaci\u00f3n manejada y de los servicios prestados por los sistemas de informaci\u00f3n en su \u00e1mbito de responsabilidad.<\/li>\n        <\/ul>\n        <p><strong>Responsable de la informaci\u00f3n<\/strong><\/p>\n        <ul>\n            <li>Velar por el buen uso de la informaci\u00f3n y, por tanto, de su protecci\u00f3n.<\/li>\n            <li>Establecer los requisitos de la informaci\u00f3n en materia de seguridad.<\/li>\n            <li>Determinar los niveles de seguridad de la informaci\u00f3n tratada, valorando las consecuencias de un impacto negativo.<\/li>\n        <\/ul>\n        <p><strong>Direcci\u00f3n Corporativa de Transformaci\u00f3n<\/strong><\/p>\n        <ul>\n            <li>Controlar que se cumplan los protocolos relacionados con la seguridad tecnol\u00f3gica.<\/li>\n            <li>Revisar que todas las pr\u00e1cticas tecnol\u00f3gicas se adhieran a las normas y al cumplimiento de los est\u00e1ndares externos y propios de la organizaci\u00f3n.<\/li>\n            <li>Garantizar el cumplimiento de la pol\u00edtica y normativa de seguridad de la informaci\u00f3n durante todo el proceso de transformaci\u00f3n digital.<\/li>\n        <\/ul>\n        <p><strong>Responsable funcional de desarrollo HIS y Ciberseguridad<\/strong><\/p>\n        <ul>\n            <li>Convocar las reuniones del comit\u00e9 conforme al calendario establecido.<\/li>\n            <li>Coordinar con los miembros la preparaci\u00f3n de temas y documentaci\u00f3n previa.<\/li>\n            <li>Elaborar y mantener actualizado el calendario anual de sesiones.<\/li>\n            <li>Redactar las actas de cada reuni\u00f3n, incluyendo acuerdos, responsables y plazos.<\/li>\n            <li>Custodiar y organizar la documentaci\u00f3n del comit\u00e9 (informes, actas, pol\u00edticas, anexos).<\/li>\n            <li>Verificar que la documentaci\u00f3n del Sistema de Gesti\u00f3n de Seguridad de la Informaci\u00f3n (SGSI) vinculada al comit\u00e9 se mantenga actualizada.<\/li>\n        <\/ul>\n        <p>Apoyar en la revisi\u00f3n peri\u00f3dica de pol\u00edticas, procedimientos y normativas.<\/p>\n        <p><strong>Usuarios y empleados (todos los miembros de Viamed)<\/strong><\/p>\n        <ul>\n            <li>Cumplir la pol\u00edtica de seguridad de la informaci\u00f3n y las normas, procedimientos e instrucciones complementarias.<\/li>\n            <li>Proteger y custodiar la informaci\u00f3n de la empresa, evitando la revelaci\u00f3n, emisi\u00f3n al exterior, modificaci\u00f3n, borrado o destrucci\u00f3n accidental o no autorizadas o el mal uso independientemente del soporte o medios por el que haya sido accedida o conocida.<\/li>\n            <li>Conocer y aplicar la Pol\u00edtica de Seguridad de la Informaci\u00f3n, las Normas de Uso de los Sistemas de Informaci\u00f3n y el resto de las pol\u00edticas, normas, procedimientos y medidas de seguridad aplicables.<\/li>\n            <li>Todos los miembros de Viamed tienen la obligaci\u00f3n de conocer y cumplir esta Pol\u00edtica de Seguridad de la Informaci\u00f3n y la Normativa de Seguridad.<\/li>\n            <li>Todos los miembros de Viamed realizar\u00e1n una alguna actividad o sesi\u00f3n de concienciaci\u00f3n en materia de seguridad TIC al menos una vez al a\u00f1o. Se establecer\u00e1 un programa de concienciaci\u00f3n continua para atender a todos los miembros de Viamed, en particular a los de nueva incorporaci\u00f3n.<\/li>\n            <li>Las personas con responsabilidad en el uso, operaci\u00f3n o administraci\u00f3n de sistemas recibir\u00e1n formaci\u00f3n para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formaci\u00f3n ser\u00e1 obligatoria antes de asumir una responsabilidad, tanto si es su primera asignaci\u00f3n o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.<\/li>\n        <\/ul>\n    <\/div>\n    <h4 id=\"Gestion_Riesgos\"><span>6. GESTI\u00d3N DE RIESGOS<\/span><\/h4>\n    <p>Todos los sistemas sujetos a esta Pol\u00edtica deber\u00e1n ser objeto de un an\u00e1lisis de riesgos, evaluando las amenazas y los riesgos a los que est\u00e1n expuestos. Este an\u00e1lisis se repetir\u00e1: Regularmente, al menos una vez al a\u00f1o<\/p>\n    <div class=\"Gestion_Riesgos\">\n        <ul>\n            <li>Cuando cambie la informaci\u00f3n manejada<\/li>\n            <li>Cuando cambien los servicios prestados<\/li>\n            <li>Cuando ocurra un incidente grave de seguridad<\/li>\n            <li>Cuando se reporten vulnerabilidades graves<\/li>\n        <\/ul>\n    <\/div>\n    <p>Para la armonizaci\u00f3n de los an\u00e1lisis de riesgos, el Comit\u00e9 de seguridad de la informaci\u00f3n establecer\u00e1 una valoraci\u00f3n de referencia para los diferentes tipos de informaci\u00f3n manejados y los diferentes servicios prestados. El Comit\u00e9 de seguridad de la informaci\u00f3n dinamizar\u00e1 la disponibilidad de recursos para atender a las necesidades de seguridad de los diferentes sistemas, promoviendo inversiones de car\u00e1cter horizontal.<\/p>\n    <h4>DESARROLLO DE LA POL\u00cdTICA DE SEGURIDAD DE LA INFORMACI\u00d3N<\/h4>\n    <p>Esta Pol\u00edtica se desarrollar\u00e1 por medio de normativa de seguridad que afrontar\u00e1 aspectos espec\u00edficos en la operativa de los usuarios de IT de Viamed. La normativa de seguridad estar\u00e1 a disposici\u00f3n de todos los miembros de Viamed que necesiten conocerla, en particular para aquellos que utilicen, operen o administren los sistemas de informaci\u00f3n y comunicaciones. <\/p>\n    <p>La pol\u00edtica de seguridad de la informaci\u00f3n estar\u00e1 disponible en el VIP y en el sitio web de Viamed Salud.<\/p>\n    <h4 id=\"Obligaciones_Personal\"><span>7. OBLIGACIONES DEL PERSONAL<\/span><\/h4>\n    <p><strong>Todos los miembros de Viamed tienen la obligaci\u00f3n de conocer y cumplir esta Pol\u00edtica de Seguridad de la Informaci\u00f3n y la Normativa de Seguridad<\/strong>, siendo responsabilidad del Comit\u00e9 de seguridad de la informaci\u00f3n, disponer los medios necesarios para que la informaci\u00f3n llegue a los afectados.<\/p>\n    <p>Se establecer\u00e1 un programa de concienciaci\u00f3n continua para atender a todos los miembros de Viamed, en particular a los de nueva incorporaci\u00f3n.<\/p>\n    <p>Las personas con responsabilidad en el uso, operaci\u00f3n o administraci\u00f3n de sistemas recibir\u00e1n formaci\u00f3n para el manejo seguro de los sistemas en la medida en que la necesiten para realizar su trabajo. La formaci\u00f3n ser\u00e1 obligatoria antes de asumir una responsabilidad, tanto si es su primera asignaci\u00f3n o si se trata de un cambio de puesto de trabajo o de responsabilidades en el mismo.<\/p>\n    <h4 id=\"Terceras_Partes\"><span>8. TERCERAS PARTES<\/span><\/h4>\n    <p>Cuando Viamed preste servicios a otros organismos o maneje informaci\u00f3n de otros organismos, se les har\u00e1 part\u00edcipes de esta Pol\u00edtica de Seguridad de la Informaci\u00f3n, se establecer\u00e1n canales para reporte y coordinaci\u00f3n de los respectivos Comit\u00e9s de Seguridad de la informaci\u00f3n y se establecer\u00e1n procedimientos de actuaci\u00f3n para la reacci\u00f3n ante incidentes de seguridad.<\/p>\n    <p>Cuando Viamed utilice servicios de terceros o ceda informaci\u00f3n a terceros, se les har\u00e1 part\u00edcipes de esta Pol\u00edtica de Seguridad y de la Normativa de Seguridad que ata\u00f1a a dichos servicios o informaci\u00f3n. Dicha tercera parte quedar\u00e1 sujeta a las obligaciones establecidas en dicha normativa, pudiendo desarrollar sus propios procedimientos operativos para satisfacerla. Se establecer\u00e1n procedimientos espec\u00edficos de reporte y resoluci\u00f3n de incidencias. Se garantizar\u00e1 que el personal de terceros est\u00e1 adecuadamente concienciado en materia de seguridad, al menos al mismo nivel que el establecido en esta Pol\u00edtica.<\/p>\n    <p>Cuando alg\u00fan aspecto de la Pol\u00edtica no pueda ser satisfecho por una tercera parte seg\u00fan se requiere en los p\u00e1rrafos anteriores, se requerir\u00e1 un informe del responsable de seguridad (CISO) que precise los riesgos en que se incurre y la forma de tratarlos. Se requerir\u00e1 la aprobaci\u00f3n de este informe por los responsables de la informaci\u00f3n y los servicios afectados antes de seguir adelante.<\/p>\n    <h4 id=\"Referencias\"><span>9. REFERENCIAS (bibliografia, normativa)<\/span><\/h4>\n    <div class=\"referencias-normativas\">\n        <ul>\n            <li>Real Decreto 311\/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.<\/li>\n            <li>Reglamento (UE) 2016\/679 del Parlamento Europeo y del Consejo de 27 abril del 2016 relativo a la protecci\u00f3n de las personas f\u00edsicas en lo que respecta al tratamiento de datos personales (RGPD).<\/li>\n            <li>Ley Org\u00e1nica 3\/2018, de 5 de diciembre, de Protecci\u00f3n de Datos y Garant\u00eda de los Derechos Digitales (LOPDGDD).<\/li>\n            <li>Gu\u00eda CCN-STIC-801<\/li>\n            <li>Gu\u00edas CCN, Abstracts, CoCENS y Normativa aplicable a Viamed.<\/li>\n            <li>Ley 14\/1986, de 25 de abril, General de Sanidad.<\/li>\n            <li>Ley 41\/2002, de 14 de noviembre, b\u00e1sica reguladora de la autonom\u00eda del paciente y de derechos y obligaciones en materia de informaci\u00f3n y documentaci\u00f3n cl\u00ednica, y equivalentes auton\u00f3micos.<\/li>\n            <li>Ley 44\/2003, de 21 de noviembre, de ordenaci\u00f3n de las profesiones sanitarias.<\/li>\n            <li>Ley 29\/2006, de 26 de julio, de garant\u00edas y uso racional de los medicamentos y productos sanitarios.<\/li>\n        <\/ul>\n    <\/div>\n    <style>\n        #CajaMayor {\n            position: relative;\n        }\n\n        .politica-seguridad>ol {\n            counter-reset: item;\n        }\n\n        .prevencion ul>li,\n        .repuesta ul>li,\n        .politica-seguridad ol>li,\n        .glosario-seguridad ul>li,\n        .Gestion_Riesgos ul>li,\n        .referencias-normativas ul>li {\n            margin-bottom: 15px;\n            text-align: justify;\n        }\n\n        .politica-seguridad ol[type=\"I\"] {\n            margin-top: 1rem;\n            margin-left: 25px;\n        }\n\n        .politica-seguridad ol[type=\"I\"]>li {\n            margin-bottom: 15px;\n        }\n\n        .roles-seguridad ul,\n        .responsabilidades-comite ul,\n        .roles-responsabilidades ul {\n            list-style-type: '-';\n            padding-left: 1.5rem;\n            line-height: 1.7;\n        }\n\n        .roles-seguridad ul li,\n        .responsabilidades-comite ul li,\n        .roles-responsabilidades ul li {\n            padding-left: 0.8rem;\n        }\n    <\/style>\n<\/div><script>\n$(window).scroll(function () {\n    var y = $(this).scrollTop();\n    var $menu = $(\".legal-menu\");\n    var $content = $(\"#CajaMayor\");\n    \n    if (y > 550) {\n        var contentBottom = $content.offset().top + $content.outerHeight();\n        var menuBottom = y + 160 + $menu.outerHeight();\n        \n        if (menuBottom >= contentBottom) {\n            $menu.removeClass(\"scrolldown\");\n        } else {\n            $menu.addClass(\"scrolldown\");\n        }\n    } else {\n        $menu.removeClass(\"scrolldown\");\n    }\n});\n<\/script><\/div><\/div><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_acf_changed":false,"footnotes":""},"class_list":["post-9751","page","type-page","status-publish","hentry"],"acf":[],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/pages\/9751","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/comments?post=9751"}],"version-history":[{"count":5,"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/pages\/9751\/revisions"}],"predecessor-version":[{"id":9768,"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/pages\/9751\/revisions\/9768"}],"wp:attachment":[{"href":"https:\/\/www.viamedsalud.com\/hospital-montecanal\/wp-json\/wp\/v2\/media?parent=9751"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}