4. Componente REG-1
• Componente REG-1:
• El prestador institucional utiliza un sistema formal de registros.
•
• Características:
•
• REG 1.1 El prestador institucional cuenta con un sistema estandarizado de
informe de resultados.
•
• REG 1.2 Se aplican procedimientos establecidos para evitar pérdidas,
mantener la integridad de los registros y su confidencialidad, por el tiempo
establecido en la regulación vigente.
Prof. TM. Leonardo Rubio
36. Las 10 Secciones de ISO
17799
Política de
seguridad Organización de
Cumplimiento la Seguridad
Administración de Clasificación y
integridad Confidencialidad control de los activos
la continuidad
Información
Desarrollo y Seguridad
mantenimiento del personal
disponibilidad
Seguridad física
Control de accesos y medioambiental
Gestión de
comunicaciones
y operaciones
37. Las 10 Secciones de ISO 17799
(continuación)
Organizacional
Seguridad
Organizativa
.
. Seguridad
física
1. Politique de
1. Política de
sécurité
seguridad Seguridad
Lógica
2. 2. Sécurité de la
Seguridad de
l’organisation
organización
Seguridad
Legal
3. Classification et 7. Contrôle de
7. Control des
3.contrôle des y
Clasificación accès
control de los accesos
actifs
activos
10. Conformité
10. Conformidad
4. Sécurité du personnel
4. Seguridad del personal 5.5. Seguridad física y
Sécurité physique et
environnementale
medioambiental
8. Desarrollo y 9. Gestión de la
mantenimiento de los 6. Gestión de las
sistemas continuidad de las
8. Développement 6. Gestion des
telecomunicaciones y 9. Gestion de la
operaciones de la
et maintenance operaciones
communications et opérations continuité
empresa
Operacional
38. Requisitos ISO/IEC 17799:2005,
especificación técnica
Planificación en Continuidad de Desarrollo y Mantenimiento de
la Empresa Sistema
• Recuperación de Desastres- • (1) La seguridad sea parte integral del
Contrarrestar interrupciones a las sistema de las gestiones en la
actividades de la empresa y sus organización, (2) Durante uso/acceso a
procesos de los efectos creados por un información prevenir perdida,
desastre o falla de sistemas de modificación o mal uso de la misma y
comunicación / informática. datos, (3) Proteger la confidencia,
autenticidad e integridad de la
Control de Acceso a Sistema e información, (4) Asegurar proyectos de
información informática y actividades de soporte se
realicen de manera segura, (5)
• (1) Control de acceso a la información, Mantener la seguridad de las
(2) Prevenir acceso sin autorización aplicaciones y plataforma operativa en
(intrusión) a sistemas de información, (3) el uso de datos, información y
Asegurar la protección de los servicios de "software".
red, (4) Prevenir acceso sin autorización a
computadores y redes, (5) Detectar
actividades no autorizadas (intrusión al
sistema), y (6) Igualmente asegurar
proteger la información cuando esta en
uso móvil y telecomunicación (en línea
por acceso externo) Prof. TM. Leonardo Rubio
39. Requisitos ISO/IEC 17799:2005,
especificación técnica
Seguridad Física y Medio Cumplimiento a Requisitos Legales y
Otros
Ambiental
• (1) Prevenir brechas de seguridad por actos
• Prevenir acceso no autorizado, daño o criminales o violación de ley civil,
interferencia a las premisas y por ende regulatoria, obligaciones contractuales u
otros aspectos de impacto a la seguridad, (2)
a la información. Prevenir daño y Asegurar un sistema (de gestión) cumpliendo
perdida de información, equipos y con políticas de seguridad y normativas (ISO
bienes tal que no afecten las 17799, ISO 9001 y otras, también considerar
guías ISO 13335 o ISO 15408), (3)
actividades adversamente. Prevenir Optimizar la efectividad con el proceso de
extracción de información (robo) y verificar / auditar el sistema.
mantener la integridad de la • ISO 13335 - Guías para Administración de
información y sus premisas donde se Seguridad (de Información)
procesa información. • ISO 15408 - Criterio para Seguridad
(Informática)
Prof. TM. Leonardo Rubio
40. Requisitos ISO/IEC 17799:2005,
especificación técnica
Seguridad de la Organización
Seguridad del Personal
• (1) Administrar la información de forma
• Reducir el riesgo de errores efectivamente segura, (2) Mantener
inadvertidos, robo, fraude o mal uso seguridad de bienes y de las actividades
de la información. Mediante en el procesado de información y sus
conocimiento y prácticas, asegurar que premisas cuando accesan otras partes
los usuarios conocen de las amenazas (externos, contratistas), (3) Mantener la
y las inquietudes en materia de integridad de la información cuando se
seguridad de sistema, y los mismos utilicen servicios externos (de apoyo y
están apoyados por políticas para
seguridad efectiva. Las políticas y su extensión de servicios).
aplicación son para asegurar reducir
incidentes de seguridad y
funcionamiento inadecuado. Aplicar
pasadas experiencias a mejorar la
seguridad e integridad de la
información (aprender y aplicar
experiencias).
Prof. TM. Leonardo Rubio
41. Requisitos ISO/IEC 17799:2005,
especificación técnica
Administración de Sistemas y Control y Clasificación de Bienes,
Redes Inventariar Equipos,
Competencias...
• (1) Asegurar premisas y operaciones
efectivas a la seguridad durante uso y • Mantener protección apropiada de los
retención de la información, (2) bienes de la empresa, asegurando que
Minimizar las probabilidades de fallas la información reciba un nivel de
en sistema ("Hardware"), (3) Proteger protección apropiado (a la naturaleza
la integridad del "software" y la de las actividades).
información que esta retiene, (4)
Mantener integridad y disponibilidad de
información en las redes y su
comunicación, (5) Asegurar
Política de Seguridad
salvaguardar información en red y la
protección de su infraestructura, (6) • Proveer dirección y apoyo por la
Prevenir daños a los bienes (inmóviles seguridad de información.
y otros) + el potencial de
interrupciones a las actividades de la
organización, (7) Prevenir perdida,
modificación o mal uso de información
cuando la misma se comunica entre
organizaciones (clientes, proveedores,
infraestructura).
Prof. TM. Leonardo Rubio
42. ¿ Qué es la ISO 27001?
•
ISO 27001, titulada "gerencia de la seguridad de la
información - la especificación con la dirección para el uso", es
el reemplazo para Bs7799-2. Se piensa para proporcionar la
fundación para la intervención de los terceros, y ' se armoniza
' con otros estándares de la gerencia, tales como ISO 9001 y
ISO 14001.
• El objetivo básico del estándar es ayudar a establecer y a
mantener un sistema de gerencia eficaz de información,
usando un acercamiento continuo de la mejora. Pone
principios de la OCDE en ejecución (organización para la
cooperación y el desarrollo económicos), gobernando la
seguridad de los sistemas de la información y de la red
43. ISO/IEC
27001:2005 –
IMPACTO GLOBAL
• El 14 de Octubre 2005 se publicó la norma ISO/IEC
27001:2005 denominada "Requisitos para la especificación
de sistemas de gestión de la seguridad de la información
(SGSI)". Después de varios meses en su versión final, ha
entrado en vigor este referencial de ámbito internacional
con el principal objetivo de crear un único conjunto de
requisitos en el diseño y gestión de los procesos de
seguridad de la información en una organización. La fecha
de publicación de esta norma estaba prevista para primeros
del 2006. El adelanto en las fechas sólo puede estar
justificado por su necesidad.
44. RESUMEN
• Disponibilidad
• ISO 27001 es una Norma
internacional y Certificable, define • Integridad de los datos
cuales son los procesos
necesarios para garantizar una • Confidencialidad de los datos
correcta Gestión de Información,
• Autenticidad de los usuarios del
e implantar en las empresa del
siglo XXI una nueva necesidad ,
servicio
la calidad en el tratamiento de la • Autenticidad del origen de los datos
información , la gestión de la
calidad en el uso de la • Trazabilidad del servicio
información que es “Gestión de
la Seguridad Informática”
• Trazabilidad de los datos
• El panorama que se avecina en
relación a los sistemas de
información, que las tradicionales
tres patas de la seguridad se han
ampliado a siete:
45. TALLER
• USE EL MODELO A CONTINUACION • ACTUALICELO CON LA RECIENTE
PARA ELABORAR UN PUBLICACION EN EL DIARIO OFICIAL
PROCEDIMIENTO DE CONTROL DE DEL NUEVO REGLAMENTO PARA
LOS REGISTROS LABORATORIOS CLINICOS Y
APLIQUELO AL AMBITO 6 REG.
50. TALLER
• Haga un Procedimiento que abarque los requisitos de las “características “
del Ámbito REG 1.1 y 1.2 , considerando las legislaciones y reglamentos
vigentes de todas las instituciones involucradas. Incluya en este registro las
consideraciones del ultimo reglamento para laboratorios clínicos publicado
recientemente en el diario oficial el 28 de Abril de 2012, sobretodo en lo que
se refiere a los articulos 13; 14; 21; 23; 27;
DL-
15
NCh
2547 ISP
REG
Res: ISO
277 17799
Reg.
2302
Prof. TM. Leonardo Rubio
51. DL-15
NCh
ISP
2547
REG
Res: ISO
277 17799
Reg.
2302
Prof. TM. Leonardo Rubio