POLITICA PARA EL RESPALDO DE INFORMACION Y SOFTWARE 4. PROPOSITO Establecer las directrices de respaldo de informacién en la Institucion, para proteger los datos y software en la organizacién, asi como los dispositives de hardware que la soportan, almacenan y distribuyen. 2. ALCANCE Esta politica se aplica a toda la informacion electrénica contenida en los servidores centrales, estaciones de trabajo y equipos comunicacionales, que contengan datos, configuraciones, aplicatvos y Servicios criticos para el MINSAL. Esta politica es aplicable a todos los usuarios, ya sean funcionarios planta, contrata, reemplazos y suplencia, personal a honorarios y terceros (proveedores, comara de servicios, etc.), que presten servicios para las Subsecretarias de Salud Publica y Redes Asistenciales, DOCUMENTOS RELACIONADOS' ~ Procedimiento para la eliminacién segura y reutilzaciones de equipos ~ Circular 28.704, agosto de 1961. Circular sobre disposiciones y recomendaciones referentes a eliminacidn de Documentos. Contraloria General de la Republica. - NCh-1$027001:2009: Tecnologia de la informacion - Técnicas de seguridad - Sistemas de gestion de la seguridad de la informacion — Requisitos, punto A.10.5.1 Respaldo de informacién. 4. ROLES Y RESPONSABILIDADES Departamento de Gestion Sectorial de Tecnologias de la Informacion y Comunicaciones: Definit el estandar de respaldo de los servidores centrales y equipos de hardware de la institucién, que detalle los respaldos de software basico, de las aplicaciones, configuraciones de servicios y de los datos en ambiente de produccin, autorizar las solicitudes de respaldo especiales. Encargado de la Unidad de Infraestructura, Telecomunicaciones y Seguridad: Generar los planes de respaldos, coordinar, ejecutar y probar en intervalos de tiempo los respaldos de informacién, llevar registros de los respaldos y de pruebas. Encargado de Seguridad: Debe definir, en conjunto con el negocio, el tipo y periodicidad de respaldos que se utilizar para cada aplicacion o plataforma de servicios, Unidad de Administracién y Operaciones: Debe solicitar a la Unidad de infraestructura, Telecomunicaciones y Seguridad que reaiice respaldos yio restauracion segin la necesidad que se requiera, realizar pruebas y validar que la actividad se realice. Usuarios: Debe cumplir con lo establecido en esta politica 5. POLITICA 5.1 Consideraciones generales La Institucion mantiene en sus registros informacion de distintos tipos de importancia (Alta, Media Baja). El mecanismo, periodicidad y tecnologia de respaldo utiizada para resquardar la informacion en el tiempo dependera de la importancia la institucion le asigne "Las paltcas o procedimientos referenciados pueden ser consultados en hp Jeb minsal Vsequridad_de la informacion Toda versia impresa de este documento se considera como Copia No Contrlada Pagina 1 de3Cada respaldo que se realice, manual o automatico, debera quedar registrado en los LOGS de los servidores y en un archivo electrénico (Texto, Planilla, etc.) en carpetas de lectura publica de tal forma de habiltarios a las jefaturas. Los medios de respaldo removibles deberan ser retirados del recinto donde se realicen los respaldos y llevados a otro que garantie el catélogo, la fabilidad, seguridad y disponibilidad de estos Las claves de usuario NO seran respaldadas. Informacion que NO es relevante para el quehacer de la Institucién y que resida en los servidores de archivo del MINSAL NO SERA respaldada. La utlidad de la informacién sera determinada por el Comité de Seguridad de la Informacion Sectorial 5.2. Frecuencia y Tipo de respaldo. La periodicidad con que se realizarén los respaldos sera de, al menos, 1 respaldo anual para el caso de los computadores criticos definidos por el Comité de Seguridad. En el caso de los sistemas informaticos y equisos eriticas diferentes a los computadares sera de, al menos, 1 respaldo mensual. La Unidad de infraestructura, Telecomunicaciones y Seguridad debe deiinir los tipos de respaldos a uilizar como estandar para la Institucion. Cada estandar debe considerar la frecuencia del respaido, los medios de almacenamiento, tipo de contenido, tiempo de almacenamiento y borrado de esta informacién, Deben existir procedimientos de respaldo especificos para cada plataforma yio sistemas de informacion. Ademas de un procedimiento para las estaciones de trabajo que contengan datos y softwere criticos, asociados al tipo de estandar asignado. Las solicitudes especiales de respaldo protegido deberdn ser autorizadas por el Jefe del Departamento de Gestion Sectorial de TIC 0 por quien éste delegue. 5.3 Proteccién alos medios de respaldo. Para prevenir pérdidas aocidentales, todos los archivos, bases de datos e informacion existente en los Sistemas centrales de la institucién, se deben respaldar en un Servidor de Respaldo. El uso y aprovechamiento del Servidor de Respaldo sera destinado unicamente para apoyar las funciones que son propias de la Institucion. ‘Queda estrictemente prohibido almacenar, en las carpetas asignadas en el Servidor institucional de Respaldos, archivos de juegos, misica, reproductores de musica y/o video, programas de compulto sin licencia y cualquier otra informacion ajena a la Insttucion, Si el medio magnetico u éptico de respaldo se encuentra proximo a su vencimiento, la informacion contenida en é| deberd ser traspasada a otro medio de respaldo de caracteristicas similares 0 superiores. Efectuado el traspaso en forma exitosa, se debe proceder a la eliminacion de! medio original Ante un cambio tecnolégico que se produzca en los medios de respaldo, que pueda generar obsolescencia tecnoldgica, deben generarse las acciones necesarias de resguardo de la informacion enellos, 5.4. Proteccién de la informacién en medios de respaldo Un nivel minimo de informacion critica de respaldo, deberd almacenarse en una ubicacién remota, esta instalaci6n debera ser emplazada a una distancia tal que escape de cualquier dafio producto de un desastre en el sitio principal. El nivel minimo de informacién sera definido por el Comite de Seguridad de la Informacién. Dicho respaldo debe tener registros exactos y completos de las copias y procedimientos documentados de restablecimiento. En ambitos criticos para la institucién, se deberan almacenar al menos tres generaciones o ciclos de informacién de respaldo. “Toda version impresa de este documento se considera como Copia No Controlada. Pagina2 de 3El respaldo de datos y software criticos se deben almacenar en un lugar protegido, con acceso controlado, Toda informacion critica grabada en respaldos que son almacenados fuera de la Institucién, debe ser trasladada con los elementos de seguridad adecuados, ya sea utiizando métodos de encriptacién o ullizar métodos apropiados para prevenirintantos de acceso fisico no autorizado. La Unidad de Infraestructura, Telecomunicaciones y Seguridad debe mantener un inventario actualizado de la informacidn almacenada extemamente. 5.5. Vigencia y retencion de los respaldos La retencién del respaldo de la informacion se debe mantener seguin lo indica la Circular N°051, del 09 de febrero de 2009, sobre disposiciones y recomendaciones referertes a conservacion, transferencia y eliminacién de documentos, de la Direccion de Bibliotecas, Archivos y Museos. 5.6 Respaldo de estaciones de trabajo Es responsabilidad del usuario el debido resguardo de la informacion contenida en el computador asignado. Lo mismo aplica para las personas que ullicen un computador porta Cualquier necesidad de respaldo, debe ser solicitada formalmente por el Jefe del Departamento 0 Unidad respectiva, justificando la criticidad de la informacién a respaldar y dirigida al Jefe del Departamento de Gestion Sectoral de Tecnologias y Comunicaciones. 5.7 Borrado de la informacion La informacion contenida en los servidores centrales de la Institucin que no sea necesaria, debe ser borrada, La informacién respaldada en medios magnéticos que pierda vigencia o no se necesite, debe ser borrada de! medio magnético que lo contiene Todo equipo computacional o medio de almacenamiento que sea dado de baja, debe ser examinado por la Unidad de Infraestructura, Telecomunicaciones y Seguridad, para comprobar que la informacion ha sido borrada La destruccién de medios de almacenamiento (como cintas, CD/DVD, etc.) que contienen informacion, debe ser efectuada de forma que impida el acceso al medio y de acuerdo a lo establecido en el Procedimiento para la eliminacion segura y reutlizaciones de equipos. 6. CONTROL DE VERSIONES Version ||" Fechade Aprobacion | ——“Motivo del cambio 0 | Septiembre 2014 | Creacién del documento 1 Octubre 2014 Aprobacion 7. APROBACION Revisado por Aprobado por Rodrigo Zamorano R. Encargado Unidad ’ : A | sell seguridad \\ Rodrigg Vidal A. “Edgardo Pino, Unidad de Coniyol de Gestién y _ Encargado Unidad-#e Cantrol Presupuesto { de Gestiony1 i = Toda version impresa de este documento se considera como Copia No Controlada, Pagina 3 de 3