Ficha disposicion pc

ORDE 9/2012, de 10 de juliol, de la Conselleria de Sanitat, per la qual s'estableix l'organització de la seguretat de la informació. [2012/7630]

(DOGV núm. 6833 de 03.08.2012) Ref. Base de dades 007573/2012

• Anàlisi jurídica

  Texto

  Texto	Texto
  Data d'entrada en vigor: 04.08.2012
  Aquesta disposició afecta:
  	Desenvolupa o complementa: DECRET 66/2012, de 27 d'abril, del Consell, pel qual s'establix la política de seguretat de la informació de la Generalitat. [2012/4162]

• Anàlisi documental

  Texto

  Texto	Texto
  Origen de disposició: Conselleria Sanitat
  Grup temàtic: Legislació
  Matèries: Administració electrònica Telecomunicacions i noves tecnologies Sanitat
  Descriptors:
  	Temàtics: sistema d'informació, tractament de dades, informàtica, protecció de dades , Conselleria de Sanitat

ORDE 9/2012, de 10 de juliol, de la Conselleria de Sanitat, per la qual s'estableix l'organització de la seguretat de la informació. [2012/7630]
Índex

Preàmbul
Capítol I. Disposició preliminar
Article 1. Objecte
Article 2. Àmbit d'aplicació
Article 3. Principi general d'actuació
Capítol II. Estructura organitzativa
Article 4. Estructura bàsica
Article 5. Organització central de la seguretat de la informació
Article 6. Organització perifèrica de la seguretat de la informació

Capítol III. L'organització central de la seguretat de la informació

Article 7. El responsable de la informació
Article 8. El responsable de la seguretat de la informació
Article 9. L'Oficina de seguretat de la informació
Article 10. El Comité de seguretat de la informació
Article 11. Els responsables d'accessos a la informació
Article 12. Els responsables funcionals de tractament
Capítol IV. L'organització perifèrica de la seguretat de la informació
Article 13. El responsable de tractaments de la informació
Article 14. El responsable local de la seguretat de la informació
Article 15. Els responsables locals de la seguretat de la informació emmagatzemada en fitxers automatitzats i no automatitzats

Article 16. El Comité local de seguretat de la informació
Article 17. Els responsables funcionals de tractament locals
Disposició addicional
Disposició derogatòria
Única. Derogació normativa
Disposicions finals
Primera. Constitució de l'Oficina de seguretat de la informació
Segona. Terminis d'adequació
Tercera. Compliment
Quarta. Instruments de col·laboració
Quinta. Entrada en vigor

La informació constituïx un actiu de primer orde per a la Conselleria de Sanitat i l'Agència Valenciana de Salut des del moment que resulta essencial per a prestar servicis sanitaris de qualitat. Que la informació relativa a la salut d'un pacient puga estar a disposició dels professionals sanitaris quan la necessiten en qualsevol punt de la xarxa assistencial, o el control de l'eficiència en l'ús dels recursos sanitaris són impensables sense el concurs de les tecnologies de la informació i de les comunicacions. Estes tecnologies faciliten l'accés electrònic dels ciutadans als servicis públics i estan provocant canvis profunds en tot tipus de sectors i activitats.
L'ús de la tecnologia facilita noves formes de tractar la informació, la qual cosa propicia la creació de nous servicis als ciutadans, com la sol·licitud de cita per Internet, o la consulta de la seua història de salut. D'altra banda, a part d'estos nous servicis i de la informació bàsica per a l'exercici de les funcions pròpies de la Conselleria de Sanitat i de l'Agència Valenciana de Salut, l'activitat d'ambdós organitzacions genera abundant informació que, al seu torn, constituïx una font important de coneixement per a les parts amb interessos legítims en la seua explotació. Entre estos interessats estan en primer lloc els pacients i els ciutadans en general, en tant que potencials beneficiaris del major coneixement sobre l'eficàcia dels tractaments, estils de vida saludables, factors de risc, etc. En segon lloc estan els gestors i directius que necessiten conéixer el funcionament de l'organització, el grau d'implantació de les polítiques, mesurar la seua eficàcia i l'eficiència dins de les conegudes dinàmiques de control i la millora contínua. L'explotació d'esta informació secundària requerix la dedicació d'estructures i personal especialitzats, tant de la Conselleria com d'agents externs. Tots estos tractaments han de realitzar-se en condicions suficients per a preservar els drets i els interessos dels ciutadans, sobretot pel que fa a la protecció de dades personals, i les de la Conselleria per a garantir els servicis i com a possible titular de drets morals o patrimonials sobre la informació i els productes derivats d'esta.

Les mesures de seguretat són de naturalesa molt diversa, quasi tant com els problemes que pretenen resoldre, i van des de les organitzatives fins a les purament tecnològiques, passant per les de tipus contractual i altres. Entre les primeres que és necessari adoptar estan les de caràcter organitzatiu, i d'estes és necessari destacar-ne dos que es complementen mútuament: una declaració dels principis que han d'observar-se en tots els tractaments d'informació, i un repartiment de funcions i responsabilitats en matèria de seguretat. És a dir, una política i una organització de la seguretat de la informació. Ambdós mesures estan tan estretament relacionades que de vegades s'inclou el model organitzatiu dins de la política.
L'antecedent normatiu immediat d'esta orde és el Decret 66/2012, de 27 d'abril, del Consell, que establix la política de seguretat de la informació de la Generalitat, i el contingut de la qual és plenament aplicable a la Conselleria de Sanitat. En la disposició final primera d'eixa norma es faculta el conseller o la consellera amb competències en matèria de sanitat i salut pública perquè desplegue les disposicions necessàries per a establir l'organització de la seguretat de la informació en el seu àmbit de competència. En l'exercici de la dita facultat, esta disposició té com a objecte establir el marc organitzatiu de la seguretat de la informació en l'àmbit de la Conselleria de Sanitat.

La Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, té com a objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques i especialment del seu honor i intimitat personal i familiar. L'article 9.1 establix que «el responsable del fitxer, i, si és el cas, l'encarregat del tractament hauran d'adoptar les mesures d'índole tècnica i organitzatives necessàries que garantisquen la seguretat de les dades de caràcter personal i eviten la seua alteració, la pèrdua, el tractament o l'accés no autoritzat, tenint en compte l'estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, ja provinguen de l'acció humana o del medi físic o natural». L'Orde 11/2011, de 21 d'octubre, de la Conselleria de Sanitat, per la qual es creen onze nous fitxers de dades de caràcter personal i se suprimixen els que existien fins a eixe moment, declara que el responsable d'eixos fitxers és la Conselleria.

El Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desplegament de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, establix les mesures de seguretat mínimes que han d'aplicar-se als fitxers automatitzats i no automatitzats que continguen dades de caràcter personal, entre les quals s'inclou el nomenament d'una sèrie de figures amb responsabilitats específiques.
La Llei 11/2007, de 22 de juny, d'Accés Electrònic dels Ciutadans als Servicis Públics, té entre els seus fins la creació de les condicions de confiança en l'ús dels mitjans electrònics per mitjà de l'establiment de les mesures necessàries per a la preservació de la integritat dels drets fonamentals i, en especial, els relacionats amb la intimitat i la protecció de dades de caràcter personal. En la disposició final huitena esta llei establix que correspon al Govern i a les comunitats autònomes en l'àmbit de les seues competències respectives, dictar les disposicions necessàries per al desplegament i l'aplicació de la dita llei.

El Reial Decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'administració electrònica desplega la Llei 11/2007, de 22 de juny, i fixa una sèrie de requisits mínims que han de concretar-se en el corresponent pla d'adequació. Entre estos requisits estan l'aprovació formal de la política de seguretat i l'organització de la seguretat. L'article 10 d'este Reial Decret, que reclama la separació de funcions entre el responsable de la informació, el responsable del servici i el responsable de la seguretat, és particularment rellevant en el context d'esta disposició.
En l'àmbit autonòmic dos antecedents normatius en esta matèria són el Decret 96/1998, de 6 de juliol, pel qual es regulen l'organització de la funció informàtica, la utilització dels sistemes d'informació i el Registre de Fitxers informatitzats en l'àmbit de l'administració de la Generalitat Valenciana, i el Decret 112/2008, de 25 de juliol, del Consell, pel qual es crea la Comissió Interdepartamental per a la Modernització Tecnològica, la Qualitat i la Societat del Coneixement a la Comunitat Valenciana.

D'altra banda és imprescindible citar també ací la Llei 3/2010, de 5 de maig, d'Administració Electrònica de la Comunitat Valenciana, que es va promulgar a l'empara de l'article 19.2 de l'Estatut d'Autonomia, que reconeix el dret d'accés dels valencians a les noves tecnologies i que la Generalitat desenrotlle polítiques actives que impulsen la formació, les infraestructures i la seua utilització, així com de l'article 49.3.16a, que establix que la Generalitat té la competència exclusiva sobre el «Règim de les noves tecnologies relacionades amb els servicis d'informació i del coneixement». L'article 37.4 d'esta llei establix que «les administracions públiques, en funció de la seua capacitat i possibilitats, aprovaran, o adoptaran per mitjà dels oportuns acords i convenis, polítiques de seguretat de la informació per a l'aplicació efectiva dels principis assenyalats en els apartats anteriors, i poden promoure la constitució o la incorporació als grups i als centres de seguretat a què es referix l'article 35.6 d'esta llei».
En virtut d'allò que s'ha exposat, i fent ús de les facultats que em conferix l'article 28.e) de la Llei 5/1983, de 30 de desembre, del Consell, i de conformitat amb el Consell Jurídic Consultiu,


ORDENE

CAPÍTOL I
Disposició preliminar

Article 1. Objecte
L'objecte d'esta orde és fer un repartiment efectiu de tasques i responsabilitats per al manteniment i la millora de la seguretat de la informació en la Conselleria de Sanitat. Este repartiment atén al principi de separació de funcions entre els responsables de la informació, dels tractaments i de la seguretat. El seu resultat és el conjunt d'agents que es descriuen en els capítols següents.
En disposicions a part es regularan altres aspectes de la seguretat de la informació, com ara l'accés a la informació i als sistemes de tractament, els plans de millora i el compliment dels seus objectius, la protecció de les infraestructures crítiques i les actuacions en casos d'emergència. Els agents identificats en esta orde jugaran papers destacats en tots estos.

Article 2. Àmbit d'aplicació
1. L'organització de la seguretat regulada en esta orde s'aplica a la Conselleria de Sanitat i als organismes i les institucions que depenguen d'esta. Les referències a la Conselleria de Sanitat que figuren en els articles següents han d'interpretar-se en este sentit extens.

2. Les entitats independents que participen en els tractaments d'informació posada sota la responsabilitat de la Conselleria de Sanitat podran dotar-se de la seua estructura organitzativa sempre que garantisquen les condicions fixades per al dit tractament. En tot cas hauran de nomenar un responsable de seguretat que facilite la coordinació amb els agents que es descriuen en esta orde, d'acord amb l'article 7.3 del Decret 66/2012, de 27 d'abril, del Consell, pel qual s'establix la política de seguretat de la informació de la Generalitat.


Article 3. Principi general d'actuació
La seguretat de la informació depén de tots els que participen en el seu tractament i compromet a tota l'organització. El personal al servici de la Conselleria de Sanitat té el deure de col·laborar amb els agents amb responsabilitats específiques en la seguretat de la informació per a previndre, detectar i controlar els riscos derivats d'actuacions negligents, ignorància de les normes, fallades tècniques, d'organització o de coordinació, o instruccions inadequades.
CAPÍTOL II
Estructura organitzativa

Article 4. Estructura bàsica
Les principals tasques per al manteniment i la millora de la seguretat de la informació s'assignen a un conjunt d'agents que es distribuïxen en una organització central i una sèrie d'organitzacions perifèriques.

Els agents de l'organització central tenen funcions i responsabilitats en tot l'àmbit d'aplicació d'esta orde. Els agents de les organitzacions perifèriques essencialment tenen àrees d'actuació més restringides que es limiten als centres que constituïxen estes agrupacions.


Article 5. Organització central de la seguretat de la informació
1. Els agents de l'organització central exercixen papers principals en el govern, la gestió i l'administració de la seguretat de la informació. La seua missió consistix a definir els objectius i l'estratègia corporativa en eixa matèria, traçar, dirigir i monitoritzar els plans per a fer-la efectiva, així com coordinar, assessorar i prestar servicis de suport als agents de les organitzacions perifèriques.
2. L'organització central estarà composta pels agents següents:

a) Responsable de la informació
b) Responsable de la seguretat de la informació
c) Oficina de seguretat de la informació
d) Comité de seguretat de la informació
e) Responsables d'accessos a la informació
f) Responsables funcionals de tractaments

Article 6. Organització perifèrica de la seguretat de la informació
1. Els centres on es realitzen tractaments d'informació s'agrupen en organitzacions perifèriques. Estos agrupaments reflectixen l'estructura de la Conselleria des del punt de vista dels tractaments de la informació.
2. Al capdavant de cada organització perifèrica hi haurà un responsable de tractaments nomenat pel responsable de la informació. Els departaments de salut, els òrgans administratius territorials, i el conjunt de centres de salut pública tindran la consideració d'òrgans perifèrics als efectes d'esta disposició, sense que amb estos s'esgote la llista.

3. Les organitzacions perifèriques es dotaran de l'estructura necessària perquè els tractaments d'informació es realitzen en les degudes condicions de seguretat. A este efecte podran comptar amb els agents següents:
a) Responsable dels tractaments de la informació
b) Responsable local de la seguretat de la informació
c) Responsable local de la seguretat de la informació emmagatzemada en fitxers automatitzats
d) Responsable local de la seguretat de la informació emmagatzemada en fitxers no automatitzats
e) Comité local de seguretat de la informació
f) Responsables funcionals de tractament
g) Responsables operatius de tractament
4. Els agents de les organitzacions perifèriques seran responsables d'aplicar les mesures de seguretat dins del seu àmbit d'actuació, i com a mínim les que s'aproven amb caràcter general per a tota la Conselleria. La participació d'estos agents en la presa de decisions corporatives i en la coordinació d'actuacions es realitzarà per mitjà de la seua representació en l'organització central i la seua participació en els fòrums que l'organització central disposarà a este efecte.
5. El responsable dels tractaments de la informació i el responsable local de seguretat són imprescindibles en qualsevol organització perifèrica.
6. Els directors gerents dels departaments de salut, els directors territorials i el director general competent en matèria de salut pública seran els responsables dels tractaments en les seues respectives demarcacions. A ells els correspondrà nomenar formalment la resta d'agents dins de la seua organització.


CAPÍTOL III
L'organització central de la seguretat de la informació

Article 7. El responsable de la informació
1. El responsable de la informació serà el conseller, assessorat i assistit pel Consell de Direcció, com a autoritat amb potestat per a decidir sobre la finalitat, el contingut i els tractaments de la informació.
2. El responsable de la informació assumix el paper que la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, assigna al responsable de fitxers.
3. Entre les competències del responsable de la informació destaquen les següents:
a) Aprovar els plans estratègics d'actuació en seguretat de la informació, proporcionar els recursos i l'autoritat suficients per a portar-los a cap.
b) Aprovar l'estructura organitzativa de la seguretat de la informació.
c) Nomenar el responsable de la seguretat de la informació.
d) Nomenar els membres del Comité de Seguretat de la Informació.
e) Nomenar un responsable d'accessos per a cada actiu d'informació.
f) Autoritzar els tractaments de la informació posada sota la seua responsabilitat i nomenar els corresponents responsables funcionals.
g) Autoritzar les cessions d'informació, enteses com a comunicacions de dades a tercers per a realitzar tractaments per compte propi.

h) Aprovar el codi tipus de la Conselleria de Sanitat.
i) Valorar els riscos que se sotmeten a la seua consideració i ordenar les actuacions pertinents.
j) Aprovar la memòria anual sobre l'estat de la seguretat de la informació en la Conselleria de Sanitat i decidir sobre les propostes d'actuació incloses.
k) Resoldre en última instància els conflictes entre la resta d'agents quan les intervencions mediadores del responsable de seguretat i del Comité de seguretat no hagueren sigut suficients.

Article 8. El responsable de la seguretat de la informació
1. El responsable de la seguretat de la informació serà la persona a qui el responsable de la informació assigne formalment les funcions de coordinar i controlar les mesures de seguretat aplicables.
2. Les funcions del responsable de la seguretat de la informació són:
a) Identificar els objectius i elaborar els corresponents plans d'actuació per a la millora de la seguretat de la informació. Entre les actuacions previstes en eixos plans estaran les següents:
i. Implantació i control de les mesures tècniques i organitzatives necessàries per a garantir la seguretat de les dades i evitar la seua alteració, pèrdua, tractament o accés no autoritzat, tenint en compte l'estat de la tecnologia, de la naturalesa de les dades emmagatzemades i dels riscos a què estan exposats, ja provinguen de l'acció humana o del medi físic o natural.
ii. Compliment de les exigències legals en matèries de seguretat i de protecció de dades personals.
iii. Establiment de les condicions mínimes per als tractaments d'informació per part de tercers, així com el control del seu compliment i eficàcia.
b) Dirigir la realització de les actuacions arrepleguades en els plans estratègics, i controlar el seu grau d'execució i l'eficàcia.
c) Promoure i col·laborar en el manteniment, la difusió i l'aplicació de la política de seguretat de la informació, així com en la redacció de les normes, procediments i guies de bones pràctiques que la desenrotllen.
d) Identificar els actius d'informació, així com els magatzems, aplicacions i servicis que intervinguen en els tractaments, especialment quan continguen dades personals.
e) Definir les línies base de seguretat, enteses com a conjunts mínims de controls de seguretat que hauran d'aplicar-se en tots els tractaments d'informació.
f) Homologar tractaments, en especial les aplicacions informàtiques i servicis d'informació, respecte als requisits de seguretat exigibles.
g) Dirigir les auditories de seguretat, que hauran d'incloure una valoració del grau d'aplicació i de l'efectivitat dels controls de seguretat pertinents i un catàleg d'actuacions recomanades.
h) Elaborar la memòria anual sobre l'estat de la seguretat de la informació en la Conselleria de Sanitat, que inclourà sengles apartats dedicats a riscos i millores.
i) Promoure l'elaboració i el manteniment d'un codi tipus per a la Conselleria de Sanitat per part del Comité de Seguretat.
j) Atendre les qüestions relatives a la seguretat de la informació i la protecció de dades personals que li siguen plantejades des de qualsevol instància de la Conselleria.
k) Atendre les qüestions relatives a l'aplicació de les mesures de seguretat procedents dels que intervinguen en els tractaments de la informació. A este efecte habilitarà els canals de participació oportuns.

l) Informar sobre la idoneïtat de les tecnologies, productes i servicis a disposició de la Conselleria de Sanitat des del punt de vista de la seguretat.
m) Establir el criteri per a la declaració de fitxers a l'Agència Espanyola de Protecció de Dades i mantindre permanentment actualitzats els registres general i autonòmic pel que fa als fitxers que siguen responsabilitat de la Conselleria de Sanitat.
n) Organitzar l'administració dels documents de seguretat i realitzar els controls de qualitat corresponents.
o) Facilitar el compliment de les disposicions legals en els contractes que incloguen tractament de dades personals. Verificar que la prestació es realitza d'acord amb les dites disposicions i amb els termes del contracte.
p) Coordinar els servicis prestats pels diferents agents que intervenen en la seguretat de la informació a fi d'evitar duplicitats i zones sense cobertura.
q) Mitjançar en els conflictes relacionats amb assumptes de la seua competència que siguen sotmesos a la seua consideració.
r) Intervenir en la gestió de les alertes, incidències i problemes de seguretat que per la seua rellevància pogueren afectar o suposar un greu risc per a la Conselleria de Sanitat i els seus actius d'informació.
s) Actuar com a secretari del Comité de Seguretat de la Informació.
t) Actuar com a director de l'Oficina de Seguretat de la Informació.
3. El responsable de la seguretat de la informació de la Conselleria de Sanitat exercirà el paper de responsable de seguretat previst en el Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el Reglament de desplegament de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal.
4. Per al compliment de les seues funcions el responsable de la seguretat de la informació estarà assistit per l'Oficina de Seguretat i pels responsables locals de seguretat de les organitzacions perifèriques.


Article 9. L'Oficina de Seguretat de la Informació
1. L'Oficina de Seguretat de la Informació prestarà assistència tècnica, legal i administrativa al responsable de la seguretat de la informació per a l'exercici de les seues funcions. El director d'esta oficina serà el responsable de la seguretat de la informació.
2. L'Oficina de Seguretat de la Informació facilitarà la coordinació entre els servicis de seguretat prestats per proveïdors de dins i fora de la Conselleria de Sanitat, i els complementarà en la mesura que siga possible.

Article 10. El Comité de Seguretat de la Informació
1. El Comité de Seguretat de la Informació de la Conselleria de Sanitat serà el màxim òrgan consultiu de caràcter no tècnic sobre seguretat de la informació.
2. El Comité de Seguretat de la Informació tindrà les funcions següents:
a) Informar els distints responsables sobre l'adequació, viabilitat i impacte de les actuacions en matèria de seguretat de la informació, i poden proposar noves iniciatives o la modificació de les existents. En particular informarà sobre els plans d'actuació proposats pel responsable de seguretat de la informació.
b) Elaborar el codi tipus de la Conselleria de Sanitat, d'acord amb l'article 32 de la Llei Orgànica 15/1999, de 13 de desembre, de Protecció de Dades de Caràcter Personal, i amb el títol VII del Reial Decret 1720/2007, de 21 de desembre, pel qual s'aprova el reglament de desplegament de la dita llei, document que revisarà almenys una vegada a l'any.
c) Facilitar el coneixement i l'aplicació de la normativa i de les mesures de seguretat en les distintes instàncies de la Conselleria de Sanitat, i buscar aconseguir un clima positiu i de participació.
3. La composició del Comité de Seguretat de la Informació serà la següent:
a) El secretari autonòmic director gerent de l'Agència Valenciana de Salut, o el director general o director de gestió sanitària en qui delegue, que serà el seu president.
b) El responsable de la seguretat de la informació de la Conselleria de Sanitat, que actuarà de secretari.
c) Un vocal nomenat per cada una de les direccions generals de la Conselleria de Sanitat.
d) Dos vocals triats directament pel director gerent de l'Agència Valenciana de Salut, dels quals almenys un ho serà en representació de l'òrgan que tinga les competències en tecnologies de la informació i les comunicacions.
e) Tres vocals en representació dels departaments de salut.
f) Un vocal en representació de l'Advocacia General de la Generalitat especialitzat en seguretat de la informació i protecció de dades personals.
4. Cada òrgan representat nomenarà un vocal titular i un vocal suplent.
5. El Comité de Seguretat de la Informació es reunirà com a mínim una vegada a l'any per a conéixer l'informe sobre l'estat de la seguretat i el pla d'actuació proposats pel responsable de seguretat, així com per a valorar els possibles canvis al codi tipus.

Article 11. Els responsables d'accessos a la informació
1. Els responsables d'accessos seran els encarregats d'executar la política d'accessos que establisca el responsable de la informació. De manera especial administraran l'accés a la informació d'acord amb eixes directrius i determinaran, amb caràcter general, el nivell de seguretat aplicable.
2. El responsable de la informació nomenarà un responsable d'accessos per a cada actiu d'informació, entés com un conjunt d'informació amb entitat diferenciada. Els fitxers inscrits en el registre general de protecció de dades tindran la consideració d'actius de primer nivell. Per davall d'ells, ordenats de manera jeràrquica, podran distingir-se altres actius més específics. Les condicions d'accés als actius de nivell superior seran aplicables als actius de nivell inferior, llevat d'excepcions degudament justificades i documentades.

3. Els responsables d'accessos podran identificar els actius de nivell inferior i designar els seus responsables d'accessos.
4. Les principals funcions del responsable d'accessos són:
a) Classificar la informació segons l'esquema proposat pel responsable de seguretat. El resultat d'esta classificació determinarà el nivell de protecció de la informació i els controls de seguretat exigibles a tots els tractaments de què siga objecte.
b) Establir els criteris, les condicions i els procediments per a l'obtenció de les credencials d'accés.
i. Eixos requisits s'especificaran, en la mesura que siga possible, de manera que faciliten la seua aplicació a col·lectius i circumstàncies ben definits i eviten haver de fer-ho de forma individualitzada, entre altres raons per a agilitzar l'obtenció d'eixes credencials en l'exercici de l'activitat ordinària.
ii. Els requisits mencionats en l'apartat anterior estaran a disposició dels possibles interessats en la Intranet de la Conselleria de Sanitat.

c) Autoritzar, amb caràcter general, les entrades i eixides d'informació fora dels locals i sistemes de la Conselleria de Sanitat. Este apartat inclou l'ús de dispositius portàtils i dels servicis de tractament en el núvol (cloud computing). En tot cas eixos moviments hauran de fer-se complint les condicions establides d'acord amb el responsable de seguretat. Les cessions d'informació hauran de ser aprovades prèviament pel responsable de la informació.
d) Gestionar la concessió, revocació i caducitat de les credencials d'accés a la informació.
e) Autoritzar les entrades i eixides individuals de suports d'informació, i guardar un registre complet d'estos moviments.
f) Informar periòdicament sobre els accessos registrats i alertar el responsable de seguretat immediat de qualsevol incidència o problema.
5. El responsable d'accés a la informació podrà nomenar delegats en les ubicacions oportunes perquè l'assistisquen en l'exercici de les funcions d, e i f del punt anterior.
6. El paper de responsable d'accessos podrà recaure en una comissió on estiguen representats els principals interessats. En estos casos la comissió haurà d'adoptar i fer públic un compromís d'agilitat en la resolució de les peticions que li siguen dirigides.
7. El nomenament dels responsables d'accés a la informació es realitzarà formalment i es farà constar en el document de seguretat.


Article 12. Els responsables funcionals de tractament
1. Els tractaments d'informació hauran de tindre l'aprovació del responsable de la informació, que nomenarà un responsable funcional per a cada tractament diferenciat.
2. El responsable funcional té la missió de fer que el tractament de la informació aconseguisca els objectius declarats, s'ha de cenyir a estos i complir els nivells exigibles de qualitat, seguretat i eficiència. Les seues principals funcions són:
a) Aconseguir els elements tècnics, materials, humans i organitzatius necessaris per a realitzar el tractament.
b) Establir les característiques individuals i les condicions de participació en el tractament dels elements mencionats en el punt anterior. Entre les anteriors cal destacar les especificacions funcionals de les aplicacions informàtiques, les necessitats de formació del personal i la seua qualificació mínima, i el temps màxim d'indisponibilitat tolerable.

c) Establir els procediments per mitjà dels quals cooperaran els susdits elements per a aconseguir els objectius del tractament, tant en condicions normals com en situacions excepcionals. Els procediments de resolució d'incidències i els plans de contingència hauran de formar part d'este lot.
d) Controlar la qualitat i l'eficiència del tractament dins d'un cicle de millora contínua.
e) Facilitar informació sobre l'activitat exercida i els resultats del tractament als interlocutors que acrediten un interés legítim, tenint en compte en tot cas les condicions imposades pels responsables d'accés a la informació.
3. El responsable funcional haurà d'introduir i exigir els requisits de seguretat aplicables en totes les fases del cicle de vida del tractament, per al qual comptarà amb l'assistència del personal especialitzat de la Conselleria.
4. El responsable funcional haurà de fer efectives les condicions fixades pels responsables d'accés a la informació, atenent especialment la formació del personal que intervinga en el tractament.
5. El responsable funcional registrarà i mantindrà actualitzada la informació relativa al tractament en els documents de seguretat corresponents, responent de la seua exactitud i vigència.
6. El responsable funcional encapçalarà, generalment, un equip de professionals en el qual estaran representats els participants i principals interessats en el tractament.
7. Quan en el tractament de la informació intervinguen les tecnologies de la informació i les comunicacions, el cap de l'òrgan que tinga eixes competències nomenarà un responsable tècnic del tractament, que serà l'interlocutor habitual del responsable funcional.
8. Quan un mateix tractament es duga a terme en distints centres, en cada un d'estos hi haurà un responsable operatiu del tractament, designat pel corresponent responsable de tractaments d'acord amb el responsable funcional. Els responsables operatius actuaran amb la coordinació del responsable funcional pel que fa al tractament en qüestió.

9. Quan l'abast d'un tractament no transcendisca els límits d'una organització perifèrica, el seu responsable de tractaments, com a representant del responsable de la informació, podrà realitzar l'autorització i el nomenament mencionats en el primer apartat d'este article.
10. El responsable funcional, el responsable operatiu i el responsable tècnic informaran diligentment de les alertes, les incidències o els problemes de seguretat que detecten per mitjà dels procediments de comunicació establits a este efecte.

CAPÍTOL IV
L'organització perifèrica de la seguretat de la informació

Article 13. El responsable de tractaments de la informació
1. El responsable de tractaments de la informació encapçalarà l'organització perifèrica de la seguretat de la informació en cada departament de salut o instància on s'establisca.
2. El responsable de tractaments de la informació actuarà dins del seu àmbit en representació del responsable de la informació. En particular assumirà les funcions següents:
a) Proporcionar la protecció adequada als actius d'informació posats al seu càrrec.
b) Desenrotllar i mantindre l'organització perifèrica de la seguretat de la informació i realitzar els nomenaments oportuns.
c) Proveir els recursos necessaris per a protegir la informació i facilitar el desenrotllament dels plans de seguretat.
d) Facilitar la coordinació d'actuacions amb els agents de l'organització central i de les altres organitzacions perifèriques. Esta coordinació és necessària per a reduir l'impacte de les incidències que afecten la seguretat de la informació.
e) Autoritzar els tractaments d'informació que no transcendisquen el seu àmbit d'actuació i nomenar els responsables funcionals corresponents.
3. Tots els nomenaments seran comunicats al responsable de la seguretat de la informació i es faran constar en els documents de seguretat pertinents.

Article 14. El responsable local de la seguretat de la informació
1. El responsable de tractaments nomenarà un responsable local de la seguretat de la informació que s'encarregarà de coordinar totes les actuacions en eixa matèria dins del seu àmbit d'actuació.
2. Els responsables locals de la seguretat de la informació actuaran en coordinació amb el responsable de la seguretat de la informació.

3. Entre les funcions dels responsables locals de la seguretat de la informació estan:
a) Dirigir, coordinar i supervisar l'execució dels plans de seguretat i l'aplicació dels controls oportuns.
b) Participar amb els seus homòlegs en altres organitzacions perifèriques i amb el responsable de la seguretat de la informació en l'elaboració dels plans de seguretat corporatius, en la gestió dels plans vigents i en la valoració dels seus resultats.
c) Col·laborar en el manteniment dels documents de seguretat.
d) Realitzar un informe anual per al responsable de tractaments i el responsable de la seguretat de la informació sobre el compliment dels plans previstos, l'efectivitat dels controls aplicats, els nous riscos detectats, i possibles canvis i millores.
e) Informar el responsable de tractaments i el responsable de la seguretat de la informació dels riscos, de les incidències o dels problemes de seguretat la rellevància del qual així ho requerisca, així com participar en la gestió o resolució d'estos.

Article 15. Els responsables locals de la seguretat de la informació emmagatzemada en fitxers automatitzats i no automatitzats
1. El responsable de tractaments podrà nomenar un responsable local de la seguretat de la informació emmagatzemada en fitxers automatitzats i un responsable local de la seguretat de la informació emmagatzemada en fitxers no automatitzats. Ambdós figures assessoraran el responsable local de seguretat i actuaran sota la seua coordinació.
2. Les seues funcions coincidiran amb les del responsable local de seguretat, en la mesura que este les delegue, i estaran orientades a les seues respectives àrees d'actuació.

Article 16. El comité local de seguretat de la informació
1. Els responsables de tractaments podran ordenar la creació de comités locals de seguretat de la informació. Les seues funcions, dins de cada organització perifèrica, seran les mateixes que les del Comité de Seguretat de la Informació.
2. Els components i el règim de funcionament d'estos comités queden a la discreció de cada responsable de tractaments. El paper del comité local de seguretat de la informació pot ser assumit per un altre òrgan o comissió amb capacitat suficient.

Article 17. Els responsables funcionals de tractament locals
Els responsables de tractaments podran nomenar responsables funcionals per a aquells tractaments d'informació específics de les seues organitzacions perifèriques. A estos agents els serà aplicable allò que s'ha dit abans per als responsables funcionals de tractament, amb l'única diferència que el seu àmbit d'actuació és més reduït.

DISPOSICIÓ ADDICIONAL

Única. Incidència econòmica
La implantació i posterior desenrotllament d'esta orde no podrà tindre cap incidència en la dotació de tots i cada un dels capítols de gasto assignats a la Conselleria competent per raó de la matèria, i en tot cas haurà de ser atés amb els mitjans personals i materials de la dita conselleria.

DISPOSICIÓ DEROGATÒRIA

Única. Derogació normativa
Queden derogades totes les disposicions que del mateix rang o d'un rang inferior s'oposen al que establix esta orde.

DISPOSICIONS FINALS

Primera. Constitució de l'Oficina de Seguretat de la Informació
Les funcions de l'Oficina de Seguretat de la Informació les assumirà amb caràcter general l'òrgan administratiu que tinga les competències en tecnologies de la informació i les comunicacions. El responsable de seguretat requerirà la col·laboració d'altres òrgans de la Conselleria de Sanitat en la mesura que fóra necessària la participació dels seus professionals per a cobrir l'oferta de servicis de l'oficina. A estos efectes el dit personal podrà adscriure's temporal o parcialment a l'Oficina de Seguretat.

Segona. Terminis d'adequació
Les comissions o aquells que en el moment de l'entrada en vigor d'esta orde van exercir funcions pròpies dels agents descrits en esta, podran continuar exercint les seues funcions, amb caràcter provisional, fins que no es realitzen els nomenaments dels dits agents. En este cas hauran d'adaptar el seu funcionament, criteris i procediments a les decisions d'abast corporatiu que prenguen els agents amb responsabilitats superiors que hagueren sigut nomenats per a això.

S'establix un termini màxim de sis mesos a partir de l'entrada en vigor d'esta orde perquè es constituïsquen l'Oficina i el Comité de Seguretat de la Informació, i es realitzen els nomenaments de la resta d'agents.
En tant que esta disposició desplega les exigències de l'Esquema Nacional de Seguretat, la data límit del 30 de gener de 2014 per a l'adequació a la dita norma resulta aplicable també al compliment d'esta orde.

Tercera. Compliment
L'ús de l'equipament i dels servicis informàtics de la Conselleria de Sanitat, així com la connexió als sistemes d'informació corporatius estaran supeditats al compliment per part dels responsables funcionals del que establix esta orde.
En les auditories que cobrisquen la seguretat de la informació o la protecció de dades personals s'avaluarà el grau de compliment i l'efectivitat de les mesures establides en esta orde.
L'observança del que establix esta orde podrà formar part dels acords de gestió que pacte la conselleria amb les organitzacions perifèriques.

Quarta. Instruments de col·laboració
L'òrgan de la Conselleria de Sanitat que tinga les competències en tecnologies de la informació i les comunicacions proporcionarà els recursos tecnològics que faciliten la col·laboració i l'intercanvi de coneixement i experiències entre els que participen en el tractament de la informació, especialment entre els agents mencionats en esta disposició.

Quinta. Entrada en vigor
Esta orde entrarà en vigor l'endemà de la publicació en el Diari Oficial de la Comunitat Valenciana.

València, 10 de juliol de 2012

El conseller de Sanitat.
LUIS ROSADO BRETÓN