Pagina Tae 5 Ee STERI : rs J MINISTERIO DE SALUD - SSI — PROCEDIMIENTO CONTROL DE CAMBIOS EN LOS MEDIOS Y SISTEMAS. 3 DE PROCESAMIENTO DE INFORMACION oo: Posi Fecha agosto 2014 4. OBJETIVO Establecer las directrices para regular los cambios de Infraestructura de Comunicaciones, Hardware y Software en el Ministerio de Salud. 2. ALCANCE Este procedimiento es aplicable a todos los cambios en el hardware, infraestructura de comunicaciones, Software, aplicaciones, sitios web y bases de datos residentes en e! Centro de Procesamiento de Datos del Minsal Este procedimiento es aplicable a todos los usuarios, ya sean funcionarios planta, contrata, reemplazos y suplencia, personal a honorarios y terceros (proveedores, compra de servicios, etc), que presten servicios para las Subsecretarias de Salud Publica y Redes Asistenciales 3. DESARROLLO DEL PROCEDIMIENTO Unidad de Infraestructura, Telecomunicaciones y Seguridad: = Planificar, coordinar y ejecutar los cambios en la infraestructura de comunicaciones, hardware y software basico ~ Atender las solicitudes y requerimientos de usuarios, ante incidentes y cambios mayores Unidad de Administraci6n y Operaciones: = Planificar, coordinar y ejecutar los cambios en aplicaciones. ~ Planificar e instalar los nuevos Sistemas Aplicativos 0 actualizaciones en los ya existentes, ~ Realizar e! control de las aprobaciones del usuario antes de realizar los cambios solicitados. 3.2 Requisitos generales para la gestion de cambios Para cualquier cambio en la Infraestructura de Comunicaciones, Hardware, Software Basico y Aplicaciones se deben considerar los siguientes puntos: 3.2.1 Antes del proceso de cambio Desarrollar una planificacion detallada de cada una de las etapas, registrando" a) Objetivo del cambio b) Alcance. + Clientes afectados. - Aplicaciones que se veran afectadas, « Hardware/software que sera intervenio. ©) Desoripeién de la operacién, ~ Recursos necesarios para el proceso de cambio. = Cronograma de actividades a realizar. ~ Respaldos previos. = Conjunto de pruebas pre y post instalacién. = Capacitacién de usuarios. - Plan de vuelta atras. ~ Riesgos involucrados, "El formato de registio se encuentra en el anexo 1 del presente procedimento, ‘Toda version imoresa de este documento se considera como Conia No Contoada,| Pagina 2665 st 10 DE SALUD - ssi i MINISTER ssi Version: 02 PROCEDIMIENTO CONTROL DE CAMBIOS EN LOS MEDIOS Y SISTEMAS DE PROCESAMIENTO DE INFORMACION aa Fecha: agosto 2014 4) Criterios de aceptacion, = Criterios de éxito 0 aceptacién = Registro de rechazo ) Plazos de entrega de cambios. + Plazos de entrega - Futuras inciden« Coordinar el cambio con las areas involucradas o propietarios de los sistemas afectados, para que se cefectiie durante periodos de baja carga de trabajo. Solictar la correspondiente autorizacién, 3.2.2 Durante ol proceso de cambio Contar siempre con ta colaboracién o contacto directo de los fabricantes o empresas de soporte relacionadas al software y/o equipamiento. Generar y mantener registros de auditoria relacionados con e| cambio, 2.2.3 Posterior al proceso de cambio Registrar los cambios en los inventarios segin corresponda’: ‘+ Inventario de infraestructura de Comunicaciones. + Inventario de Hardware. = Inventario de Aplicaciones, 3.3. Cambios en la Infraestructura de Comunicaciones, Hardware y Software Basico 3.3.1 Cambios infraestructura de comunicaciones y hardware La Unidad de infraestructura, Telecomunicaciones y Seguridad es responsable de planificar y solicitar @ la Unidad de Administracién y Operaciones y/o una tercera parte (proveedor) los cambios que se requieran por mejoras o reparaciones ante fallas, Cuando en la gestién de un cambio participan terceros, &stos deben ser controlados por la Unidad de Infraestructura, Telecomunicaciones y Seguridad. 3.3.2 Cambios de software basico Los cambios deben ser programados de preferencia para los fines de semana, dias no habiles o fuera del horario de oficina, No se deben instalar actualizaciones sin antes verificar su autenticidad, integridad y el posible impacto en las aplicaciones, Se debe instalar la actualizacion en un ambiente separado de prueba para veriicar su funcionamiento. 3.4 Cambios en Aplicaciones 34.1 Cambios generales en las Aplicaciones Es responsabilidad de la Unidad de Administracién y Operaciones, que todo cambio a una aplicacién se realice, siguiendo los siguientes lineamientos. * El dotale det contenido dels dierentes Inentaros se encuentra deinido en la Pollica de Gestion de Hardware y Sofware. Toda versiénimoresa de este documento se considera como Cooia No Controada,Pigna 3 de5 or mvsTeR0 D8 6ALUD-28 sin: 02 PROCEDIMIENTO CONTROL DE CAMBIOS EN LOS MEDIOS Y SISTEMAS DE PROCESAMIENTO DE INFORMACION erealaaaaead Fecha: agosto 2044 + Se deberd llevar un control de las versiones de los sistemas. + El Jefe de Proyecto debera definiry solicitar con el equipo de desarrollo los criterios a seguir para cambio de versién o releases sobre una misma versién (seguir buenas practicas de la industria) + Debe analizado y probado en el ambiente de Testing, * Los datos ullizados en las pruebas deben ser concordantes con lo que se utlizan en el ambiente de produccién. Estos deben ser preservados para permitr pruebas repetivas. En lo posible, los datos para prueba y desarrollo deben corresponder @ un subconjunto Tepresentativo de informacién de produccion, + Para sistemas nuevos y de funcién critica, deben realizarse pruebas tales como volumen, stress, rendimiento, almacenamiento, integracién de sistemas, seguridad y recuperacion ante errores, ‘+ Se debe contar con la aprobacién del duetio de la aplicacién, * Generar la documentacion necesaria definida para hacer entrega del cambio a producci6n + Documentar detalladamente los cambios introducidos al sistema, de manera de faciltar la capacitacién a los usuarios. + La capacitacién a los usuarios debe realizarse tan cerca de la salida a produccién como sea posible * Cuando sea posible si el sistema aplicatvo es un desarrollo externo, se debe contar con el apoyo del personal de la empresa que desarrolé el sistema, 5.4.2 Cambios mayores en las Aplicaciones. Los cambios mayores a las aplicaciones nuevas o existentes, que afecten a la institucién de manera transversal, deben considerar: + La incorporacién de un equipo de personas al proyecto, con el propésito de registrar y documentar las diferencias a nivel de perfiles, datos, programas, interfaces usuarias para el sistema antiguo y nuevo. + Planificar y ejecutar capacitacién al personal impactado. + Apoyar la salida a produccién del sistema, incorporando a la mesa de ayuda o constituyendo luna mesa de ayuda especial 34.3 Cambios de emergenci Se debe establecer un proceso definido y controlado para los cambios de emergencia. Este proceso debe considerar el registro post modificacién de la informacion asociada y su correspondiente aprobacion, 4, DOCUMENTOS APLICABLES 0 RELACIONADOS? Procedimiento para el Desarrollo de Aplicaciones. Politica para la Gestion de Hardware y Software. NCh-1$027001:2009: Tecnologia de la informacion - Técnicas de seguridad - Sistemas de gestion de la seguridad de la informacion ~ Requisitos, puntos A.10.1.2 y A.12.5.1 > Las policas 0 procedimientosreerencados pueden ser consuados en hips minsaLciseaurdad de Ia informacion “Toda version imoresa de este documenta se considera como Coola No Contolada,“Pigina 4 405 MINISTERIO DE SALUD - SSI i aa Versi 02 | PROCEDIMIENTO CONTROL DE CANBIOS EN LOS MEDIOS Y SISTEMAS 5 DE PROCESAMIENTO DE INFORMACION See | Fecha agosto 2014) 5. CONTROL DE REGISTROS on — “Registro de Carpeta de Red Unidad Planificacion de Operaciones / Carpeta _Carpeta de cambios. en Red Unidad de —_protegida | Wdentificaci Aon nto | Fe ambio_Indefir ica eames oROEO || Fecha del canbio | Ineo | Nop | Telecomunicstiones y | de acceso | seguridad 6. APROBACION José Rodrigo Zamorano R. Unidad de Confrol de Gestion y __Encargado de Seguridad de la puesto Informacion "Eduardo Barroso S._ Encargago Unidad de Adm my Operaciones frigo Castro A Comité de Seguridad la Informacis | Presi Encargada Unidad de Control de / Gestion y Presupoesto. FU Toda version mores d ste documento se considera como Copia No ContoladaMINISTERIO DE SALUD - SI PROCEDIMIENTO CONTROL DE CAMBIOS EN LOS MEDIOS Y SISTEMAS DE PROCESAMIENTO DE INFORMACION Lae Fecha: agosto 2014 7. ANEXOS + ANEXO 1: Registro de planificacion de cambios, REGISTRO DE PLANIFICACION DE CAMBIOS 4. Objetivo det cambio a) 2, Alcance 2.1 Clentes afectados 2.2 Aplicaciones que se verdn afectadas. 2.3 Hardwarelsoftware que sera inlervenide, 3. Deseripeién de la operacién 3.1 Recursos necesarios para el proceso de cambio. 32 Cronograma de actividades a realizar. 3.3 Respaidos prevos 34 Conjunto de pruebas prey post instalacién 35 Capactacién de usuaros. 3.6 Plan de wel ata, 3.7 Riesgos involucrados, 4. Criterios de aceptacién 4.1 Cfterios de éxito. aceptacion 4.2 Registo de rechazo 5. Plazos de entrega de cambios 5.1 Plazos de entrega. 5.2 Futuras ineldencias “Toda version imoresa de este documento se considera como Coola No Contoada,