Professional Documents
Culture Documents
SEGURIDAD
ESPECCIFOS.
PROCEDIMIENTOS
DE
DE
LA
INFORMACIN
SANTIAGO,
1 4 OCT. 2014
Norma Chilena
NCh-lSO
27001.0f2009
ANTESE Y COMUNQUESE
Distribucin:
Gabinete Sra. Ministra de Salud
Subsecretara de Salud Pblica
Subsecretaria de Redes Asistenciales
Departamento de Gestin Sectorial de Tecnologas y Comunicaciones
Divisin Jurdica
Oficina de Partes
Ve1$10n
...... _J..
-~-~CTIVOS
...........
oi
-------<
J::7--J
::
1. INDICE
2.
OBJETIVO
3.
ALCANCE
4.
4.1
Respor.sabilidades
2
4.3
Registro de usuarios...................................................................................................
4.4
4.5
..
usuano
.. .. . .. .
..
.
..
.. ..
............
..........................................
APLICABLES O RELACIONADOS
..
..
5
6
5.
DOCUMENTOS
6.
CONTROL DE REGISTROS
7.
INDICADORES
8.
APROBACIN
9.
ANEXOS
10
10
11
12
2. OBJETIVO
Establecer las actividades necesarias para la ges1i6n de derechos de accesos a los sistemas de
informacin, junto a la devolucin de activos de la organizacin.
3. ALCANCE
Subsecretarias de Salud Publica y de Redes Asistenales.
Este procedimiento es aplicable a todos los funoonanos 1 (planta, contrata, reemplazos y suplencia)
personal a honorarios y terceros (proveedores. compra de servicios. etc.). que presten servicoos para las
Subsecretarias efe Salucf Publica y de Redes Asistenaales.
4. DESARROLLO DEL PROCEDIMIENTO
4.1 Responsabilidades
.. ; "'"iuiorizar el ingreso de nuev(isicionarfo; ;.notificar.
l
Jefatura de Unidad,
Solicita la creac n o eliminacin de los accesos a los sistemas de 1
Departamento o
informacin.
1
Divisin
Notificar cualquier desvinculacin de funcionarios.
r~iiiiciiar los accesos a los sistiascieiiorrriacin.
Coordinador
Admi lstrall
'j
Notificar cualquier desvinculacin de funcionarios.
0
n
. de: .
d
'<ecopilar y revisar los antecedentes mlnimos para el inicio de trmnes de
f unc1onano
es1gna o. 1
.
d d
h
d
-
'-'~-9r~.s.'?..Y.~~_19nacoon e -~~--?.~--~-~'?~~~().R~OV!~!IOS.
.
1
A lo largo del procedimiento cada v ez. que SP. mencione ftn::ionao se refiere a: funocnartcs (plant::t, conrata, reem~.az.05y
suplencia), personal a ncnora.tos y lerceros (pro'lleedores. corrpra de seMCJM. etc.j
Toda: versi>n imotcsa d
Ver.,..,
1
02
,_'----Cdigo: ~ss-coe
- ... r~
L
.
1 Departamento
1 Administracin y
Servicios:
'ecar9ailo.ii.
Seguridad de la
Informacin:
Funcionarios:
4.2
..
'
:
':
~~;:,~~~ar
---------
----
Registro de usuarios
4 2.1 Consideraciones gonoralos
En cualquier registro de usuarios se debe utilizar IDs nicos para permitir a los usuarios v ncularse y ser
responsables de sus acciones.
Es resoonsabilidad de los Administradores de Sistemas mantener un regislro formal de todas las personas
regisltadas para usar el servicio.
4 2.2 Registro do usuarios nuevos
La creacon de los accesos de nuevos luncionanos (correo electrnico,
trabajo). se debe realizar de acuerdo al siguiente flujo
i!
Js
f
!,i
a
e
~
~
''""""'i
....,....
[ '"'
.
__
ll'MllA.,.,ll.>
llP .._, ....
7.---
.;
lff':~,111
~~1!"'.IC'ff,,
'
~b'.C:eKfGUO
c:J'r'lo::a'*""'-~
'"'"
.._""'"'
~
12
i: Vcra1cn. 02
-t-
La Jefatura de la Unidad. Departamento o Divisi~ es responsable de solicitar los accesos bsicos para tos
nuevos funcionarios mediante el FormultJrio de sol1edud oara creacinlelimiu:icindo rcccsos'
La Un dad de Soporte del Departamento TlC es responsable de la creacin de los accesos bsicos de
ingeso que Incluye:
Creacin de correo electrnico.
Creacin de usuario en Active 01rcctory.
Habi~tac.in de estacin de trabajo.
La entrega de las contrasenas temporales de Ingreso se realiza mediante el Rogislro ao Entrego ele Claves
de Acceso, que es firmado por el funcionario que recepcona. quedando una copia en poder de Soporte y
otra en poder del funcionario.
En el registro de entrega de claves de acceso se proporciona un enunciado con las responsabilidades
implicadas en el uso de los sistemas de informacion del Ministerio'.
Las condiciones de uso incluyen:
Mantener confidenciales las claves secretas.
Cumplir con lo establecido en las Pollticas y Procedimientos del Sistema de Seguridad de la
lniormacin. en todo lo que sea de su competencia.
No divulgar informacin pertinente al Ministerio de Salud.
Entender la responsabilidad funcionara. an fuera de las dependencias de trabajo y f1.era del
horario normal de trabajo.
La creacin de accesos se registra en la
4.2.3
La creac<n o eliminacin de accesos a los sistemas de informacin se debe realizar de acuerdo al 519uiente
flujo
-11'!1!--
Pgina 4 da t2
!1!'111!1111!
MINISTERIO DE SALUD SS!
Vorsoiin. 02
.. --
O:OACTIVOS
Fecha Julio201-'
i
i:;
..- . Q-1
o -
~!
e1111k'\lti6n<1~11(U:.l)
aS"~tCf.l~
: .. )ll
~rf:r:...b1N
crHCi'\e11"~
--o
tf-
~l
:;
oi((f'\.M
'---
..
.i~
;o\UCOllU'
. .""'
/
SI
-~.:~-
l"<otlkM'
~
,;
~
"
..._
..,
SI
Ptv1Sllf
rcuucrim1cmo
.
~l'.~1,.'ettlie't:!
J"l",;1" .. 0041-tt
p.o!b:lldf
..
"
O(
"")
.Jtect.J.ert
~~"'iJO"A ~
S.011:.ltoi
ll11C.l\l(.01)t
<..,.,
'
G
.
iii
[-,t~c.>..es
ee seeese
delS:-.i?
S..."01.11~
!
;
A.slo1:1
llt""C'
::
La Jefatura de la Unidad, Departamento o DiVJsiOn es responsable de solicilar la creacin o eliminacin de
los accesos a los sistemas de inforrnaci61 mediante el Formulario do solicitud ele croacinleliminacin de
accesos firmado.
El Departamento TIC es responsaole de chequear que el nivel de acceso solicitado es apropiado para el
propsito inst1uoional y que sea consistente con la Politica(s) de Seguridad de la Organizacin
En caso de ser necesario se debe solicitar la autorizacin de acceso del usuario a los sistemas. al
propietario para su uso y/o acceso.
Las claves secretas temporales deben ser proporcionadas a los usuarios de una manera segura (ver 4 3).
4
: Ptfi1nas0e12---
MINISTERIO OE SAJ.UO SSI
1 versit>n
02
1
'
.. - --L-43 1
Las contraseas temporales debe1 ser proporcionadas a los usuarios de una manera segura. no se
deben utilizar mensajes de correo electrnico de terceros o no protegidos (sin texto}.
Las contraseas de acceso creadas por et usuario deben ser difciles de adivinar por terceros y ser
solo de su conocimiento personal, quedanoc prOhibido su divulgacin, asl como mantener anotada
su clave de acceso en lugar visible.
Los sistemas de informacin deben validar la robustez de las contraseas de los usuarios.
Las contraseas de acceso de los usuarios deber contar con un archivo histrico. debidamente
encriptaco, con el objetivo de no permitir reutilizar una e ave de acceso utilizada recientemente.
Las contraseas nunca deberian ser almacenadas de una forma desprotegida (ej. Contraseas
almacenadas en el navegador, post-it. cuadernos. etc.).
Toda conrasea predeterminada por el vendedor debe ser cambiada despus de la 1nstalaciOn de
los sistemas o software.
432
Caractersticas de Contraseas
Letras maysculas
rninscuas
....Letras
.- ......
.
.!'Jumeros
J.~,_B,.C
1: a. o, c ..... - ....... _ ...
: (). ),_?.~--~: ?,.~_,_?,_~. 9
Intentos fallidos
El nmero de intentos errneos de acceso a una cuenta, debe estar limitado segn se md1qJe en el
estndar definido por la Unidad de Soporte o Depto Sectorial TIC.
De cumplirse el nmero de intentos fall1d0s definido. la cuenta debe quedar bloqueada Siendo los
nicos autorizados para su desbloqueo la Unidad de Soporte TIC o el Departamento Sectorial TIC.
Toda reasignacin de contrasea debe ser solcitada por el jefe directo del usuario litular de la
cuenta
los roquernll!rtos de seguridad poro el uso do corroo e&c!dronicoy la ges.tin de controsone.s. os1n definidos en ta p0!1hta de
rrotcoon de mense'es electrnicos y la Po!itlca d Sguridad en 1, identi5cacin y autenticacin da usuados.
los requruSniertos de seguridad para la gcslln d d1e::hos de acceso. eMcln definidos on la PO ilica de a.1ntrol (1-P; Acceso
Toda ve-srcn mcresa de este dccumcntc
S!
~----
! l!l!'.'l!lll'!'llJ!I!
----------
1
MINISTERIO
oe SALUD.
SSI
Vcr11611 02
_____....__....... I
DE ACTIVOS
Fcha. Julo 2014
Consideraciones generales
Todo funcionario es responsable de devolver todos los activos pertenecientes a la organizacin que estn
en su poder como ccnsecuencia de la nazacn de su relacin laboral, contrato o acuerdo.
$1 un funcionario utiliza su equipamiento personal. es responsable de transferir toda la informacin
pertinente y eliminarla de manera confiable de su equipamiento corno consecuencia de la finalizacin de su
relacin laboral. contrato o acuerdo.
Si un funcionario posee conocimiento que es importante para las operaciones
responsabiidad documentar dicha informacin y transferi'la al Servicio.
4 S.2
en curso. es su
i Ve<Sin Oi
PROCEDIMIENTO
Pagil7"d"12
Pf;()..."'-&..cr.&
_.[~~~~:-~2tl<
Q
--
1'11iOO, L91~.:i
u"'""$4
"<~
01\U'4'1t.'i:QI
_:~:;~:1~
COtOOflll\"'i\
+l. '
!
i
j
..
P~onierl'
....,,
~1?1111:1.'K
Ke<;iht--rt
1n!OC"l!l11r
l!
! V-0111n 02
8--o
lt!Nt!l.ti
<!_.6("up~
ar.(H;dt
~11!.~~n
1---->(/
"'-~...:
>----+ Mrt.CJ&o:--.;v
NO
"""""4."
"
f---~
(3
1
1
,ftN)0:8'/
~~~
r-'fdt1fki;6f\-7
AiliUiiittft~:::~--=~~----.-~-P;@IOC(
56n--;--.....-.. ~.-
...-.1 RtiiJi)trl"ciO"7f"RotenCl"':-r
011.POiii
.,_,.....
......... ~....
.,-........
... ~......
. """""'
?...
Otn'M.J~O
sobcilud
cte~on
accesos_ .
de
:
!
para , \'.p1od006\Ststema do Seuuriced d Garpe.1a eo sen'ior con :
de :
e la lnfom1aci<JO
; segrcgaci6n de privlegios
L~-~da~9_l
: R~tto
IQf~---.
---~~~-<:_lpnvt~9~9~_J
de : \\pr0d006\Sisteml1_de_Segund.ad d
C~ta en SCfVldor con
L~~cho5ce ~-
e,J?
lU3,J11tonu~IW.l..
seq<_'!Q~ oo p1M1egios -
Fech.;
~echa
roen
5a 0
Oestru c:aon
:S
Saas
5 ~~~~- :
+--------
oe.lmocill
Oesrrucc1;, 1
Las pot~s o p(OC:Jimientos refercnoados pueden ser consutadOS en ht1rfinu:_anet.m nsa1.c1:j11(fec phplpaginasi"er/1551.
E'I~~:'
i PROCEDIMIENTO
!
~Cd;go~-"'-""""'
otno
j;,Q 2iI
7. INDICADORES
. . ,.... . .,.-'""" .... ~, ...... ""~' D"""" .-d.....;-:.-.::."'."-:~-.---~?- ......,.,,---:--.:"'""' ......... ~';?:~~..::;'"i.'" -~,.--.H~T..-..,.._ ... ,.._.,, ,.
); r9ro o ue
,
r, ..
: :
t
Fnnula de clculo
~
:
1
~ Clculo del
..
::-su>ustos
: Notas
(N de contrataciones
personal nuevo con
acceso correctamente
concedido I N' total de
contrataciones en el
perodo_! )'100
1 Mes
,-de desvinciilaci.oas
con control aplicado I N'
total de
desvinculaciones del
1 Mes
perioco_t) 100
1
~ Evidencia
.._
.
re9"stro'
Procedimiento gestin de 1
En el
derechos de acceso y
de derechos
devolucin de actives/
1
Que existan
de acceso se :
Registro de ingreso
'!
contrataciones
registran tos ,
Unidad de Personas I , en el periodo
accesos
:
Registro de derechos de i
correctamente
acceso
concedidos
-Pi-oceciiniieio geslin de
En el
derechos de acceso y
de derechos
devolucin de activos I
Que existan
de acceso se
Registro de ingreso
desvinculaciones '. registran los
Unidad de Personas I
en el periodo
:
accesos
Registro de derechos de
i
correctamente
____ ic;ceso
ceneeoiccs
iegisifo"
8. APROBACIN
Rodrigo Vidal A.
Unidad de Control de Gestin y
Plesupuesto
\'~
\,
'
, PROCEDIMIENTO
______ J _ . .
1
9.
v.,..o;,:02
Cdigo MC>SS -~
fecha Ju11o zo.
ANEXOS
FORMULARIO DE SOLICITUD
PARA CREACION/
ELIMINACION
OE ACCESOS
1. Tipo de solicitud
1
Feeha de solicitud
Cargo
Di"isin I Departamento
Calidad Jurdica
_fecha de ingreso a la 1n:.::s:.:ti:.::lu,_,c:.:;i6:.:n'-----'--
!,_I
' tn!lTC&<H
Toda
YCtSirl
i.
.. p,;9;;;.;;;e,2""";
MINISTERIO DE SALUD. SSI
Ver$io~ Z
C-Odloo
"' s<i.xe
Usuario
Password
Esta clave ser transitoria y despus de instalada la maquina el usuario debera cambiarla por
medlO do los comando locales de la rncu1na que el tcnico le 1nd1cara.
2. Correo Electrnico.
11on.c:!oe@rninsa1 et
ralo8711l
Esta podr ser cambiada por el usuao desde et webmail, esta clave funciona en directa relacin
con conlfguraciones de BlackBerry, IPhone o Smanphone.
3. Seguridad
las condiciones de uso del equipam1er\lo y Sistemas de inlo1TT1ac1n implican las siguientes
responsabilidades:
Mantener ccntdenclales las clavos secretas.
Cumplir con lo establecido en las Politicas y procedimientos de Sistema de Segundad de
la Informacin, en lodo lo que sea de su competencia
No divulgar lnlo1 mncin pertinente al Mrlistcno de Salud.
Entender la responsabilidad funcionaria an fuera c!e las dependendas de trabajo y fuera
del horario normal de trabaio.
Tcnico:
Fecha Instalacin:
_
Unidac de Soporte Minsal
Anexo 240780
Toca
VtS.00
----Pgina
MINISTI:RIO
.
!
oe SALUO SSI
12
oe 12
-: Ve.r$ltn
02
--
""55""'
:..!~-~---
1
1L_
h;.;;;;;;,~J\iio 201
----~--->
_,. .,..
... ~::
1 .:::: ..
,
'