Descargar documento completo 4MB - Sociedad EspaÃ±ola de ...

More documents

Recommendations

Info

Manual de salud electrónica para directivos de servicios y sistemas de salud permite abordar todos los factores relativos a la seguridad de la información desde un enfoque global, haciendo énfasis en los aspectos organizativos y humanos y evitando errores y sesgos frecuentes como concentrar excesivos esfuerzos en cuestiones meramente tecnológicas (Gómez y Andrés, 2009). Aplicación al ámbito de la salud La implantación de un SGSI en un servicio de salud supone la realización de las siguientes tareas: • Definición de una política de seguridad en la que se describen brevemente las características y objetivos generales de la organización y sus compromisos institucionales en materia de seguridad de la información. Esta política debe ser definida y aprobada por la dirección del servicio de salud, ya que es la responsable de garantizar la protección de los datos personales que utiliza la organización durante su actividad. • Constitución de un comité de seguridad que se encarga de coordinar y aprobar las actuaciones en materia de seguridad de la información y velar por el correcto funcionamiento del SGSI. En este comité deben estar representados: – Los órganos de dirección del servicio de salud y de los centros adscritos a él como responsables máximos de estas instituciones. – Los servicios de admisión y documentación clínica que son los encargados de la gestión de la información relativa a la salud de los pacientes. – Los servicios de tecnologías de la información como responsables del mantenimiento de la infraestructura informática y de comunicaciones que se emplea para el registro y tratamiento de los datos. – Los servicios de gestión administrativa que no hacen uso de datos clínicos pero manejan información de personal y proveedores necesaria para el funcionamiento del servicio de salud 82 . 82 Estos servicios se incluyen a efectos de representación de todas las partes implicadas, pero dado el enfoque de este capítulo no se profundizará más en su papel ni en la gestión de la seguridad de la información no clínica. 339
Capítulo XVI • Principios de seguridad de la información en entornos de salud CEPAL • Realización de un inventario de activos en el que se detallan los distintos activos de la organización que están relacionados con el tratamiento de información: datos empleados, soportes físicos, dispositivos, aplicaciones informáticas y personal, entre otros. Estos activos se clasifican en diferentes categorías según su naturaleza y se valora la importancia que cada uno de ellos tiene para la organización. En un servicio de salud los ejemplos más claros de activos serían el archivo de historias clínicas, los ordenadores que utilizan los profesionales clínicos, los servidores hardware, las aplicaciones de historia clínica electrónica, el fichero maestro de pacientes, las líneas de comunicaciones e incluso el propio personal de la organización. • Realización de un análisis de riesgos en el que se evalúan separadamente las amenazas a las que cada activo está expuesto y el impacto que tendría sobre él la ocurrencia de dicha amenaza, estableciéndose después unos límites asumibles para cada riesgo. Es decir, el resultado del análisis de riesgos permite conocer y cuantificar los peligros a los que está expuesto cada activo y priorizar la aplicación de medidas de seguridad, comenzando por los activos con mayor riesgo. Por ejemplo, el archivo de historias clínicas no está expuesto a los mismos riesgos que la base de datos de proveedores o el calendario de guardias de un servicio médico, y el impacto que un incidente tendría sobre la organización tampoco es el mismo en todos los casos. La pérdida de información contenida en las historias clínicas podría causar una merma en la calidad de la asistencia que se presta al paciente, mientras que el robo de estos datos sería una violación flagrante de su derecho a la intimidad. Sin embargo, en el caso de la base de datos de proveedores o el calendario de guardias, tanto la pérdida como el robo de información causarían un problema transitorio de operatividad en la organización, pero en ningún caso se trataría de una brecha en la confidencialidad de los datos, ya que no se trata de información especialmente sensible. • Planificación de medidas de seguridad orientadas a la contención de los riesgos, manteniéndolos dentro de los límites establecidos anteriormente: implantación de controles de seguridad y definición de procedimientos de actuación, entre otros. • Definición de roles y responsabilidades para la aplicación de las medidas diseñadas, pudiéndose asignar tareas a prácticamente cualquier miembro de la organización. • Asignación de recursos suficientes para la aplicación de las medidas diseñadas. 340
Page 2 and 3:
Coordinadores Javier Carnicero Andr
Page 4 and 5:
Manual de salud electrónica para d
Page 6 and 7:
Page 8 and 9:
Page 10 and 11:
Page 12 and 13:
Page 14 and 15:
Page 16 and 17:
Page 18 and 19:
Page 20 and 21:
Page 22 and 23:
Page 24 and 25:
Page 26 and 27:
Page 28 and 29:
Page 30 and 31:
Page 32 and 33:
Page 34 and 35:
Page 36 and 37:
Page 38 and 39:
Page 40 and 41:
Page 42 and 43:
Page 44 and 45:
Page 46 and 47:
Page 48:
Page 51 and 52:
Capítulo I • El sistema de infor
Page 53 and 54:
Page 55 and 56:
Page 57 and 58:
Page 59 and 60:
Page 61 and 62:
Page 63 and 64:
Page 65 and 66:
Page 67 and 68:
Page 69 and 70:
Page 71 and 72:
Page 73 and 74:
Page 75 and 76:
Capítulo II • La historia clíni
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 96 and 97:
Page 98 and 99:
Page 100 and 101:
Page 102 and 103:
Page 104 and 105:
Page 106 and 107:
Page 108 and 109:
Page 110 and 111:
Page 112 and 113:
Page 114 and 115:
Page 116 and 117:
Page 118 and 119:
Page 120 and 121:
Page 122 and 123:
Page 124 and 125:
Page 126 and 127:
Page 128 and 129:
Page 130 and 131:
Page 132 and 133:
Page 134 and 135:
Page 136 and 137:
Page 138 and 139:
Page 140 and 141:
Page 142 and 143:
Page 144 and 145:
Page 146 and 147:
Page 148 and 149:
Page 150:
Page 153 and 154:
Capítulo VI • Gestión de la ima
Page 155 and 156:
Page 157 and 158:
Page 159 and 160:
Page 161 and 162:
Page 163 and 164:
Page 165 and 166:
Page 167 and 168:
Page 169 and 170:
Capítulo VII • Telemedicina: gen
Page 171 and 172:
Page 173 and 174:
Page 175 and 176:
Page 177 and 178:
Page 179 and 180:
Page 181 and 182:
Page 183 and 184:
Page 185 and 186:
Page 187 and 188:
Page 189 and 190:
Page 191 and 192:
Page 194 and 195:
Page 196 and 197:
Page 198 and 199:
Page 200 and 201:
Page 202 and 203:
Page 204 and 205:
Page 206:
Page 209 and 210:
Capítulo IX • La gestión electr
Page 211 and 212:
Page 213 and 214:
Page 215 and 216:
Page 217 and 218:
Page 219 and 220:
Page 221 and 222:
Page 223 and 224:
Page 225 and 226:
Page 227 and 228:
Page 229 and 230:
Page 231 and 232:
Page 233 and 234:
Page 235 and 236:
Page 237 and 238:
Capítulo X • Intercambio interna
Page 239 and 240:
Page 241 and 242:
Page 243 and 244:
Page 245 and 246:
Page 247 and 248:
Page 249 and 250:
Page 251 and 252:
Page 253 and 254:
Capítulo XI • Sistemas de inform
Page 255 and 256:
Page 257 and 258:
Page 259 and 260:
Page 261 and 262:
Page 263 and 264:
Page 265 and 266:
Page 267 and 268:
Page 269 and 270:
Page 272 and 273:
Page 274 and 275:
Page 276 and 277:
Page 278 and 279:
Page 280 and 281:
Page 282 and 283:
Page 284 and 285:
Page 286 and 287:
Page 288 and 289: Manual de salud electrónica para d
Page 328: Manual de salud electrónica para d
Page 331 and 332: Capítulo XVI • Principios de seg
Page 337: Capítulo XVI • Principios de seg
Page 362: Manual de salud electrónica para d
Page 365 and 366: Capítulo XVIII • Infraestructura
Page 388 and 389:
Page 390 and 391:
Page 392 and 393:
Page 394 and 395:
Page 396 and 397:
Page 398 and 399:
Page 400 and 401:
Page 402 and 403:
Page 404 and 405:
Page 406 and 407:
Page 408 and 409:
Page 410 and 411:
Page 412 and 413:
show all

Descargar documento completo 4MB - Sociedad EspaÃ±ola de ...

Create successful ePaper yourself

Delete template?

Save as template?