Documentos de Académico
Documentos de Profesional
Documentos de Cultura
VISTA:
CONSIDERANDO:
Que, resulta necesario dictar las disposiciones que permitan establecer las polticas,
roles, acciones y responsabilidades que faciliten contar con Planes de Contingencias
Informticos en nuestra Institucin, para hacer frente a imprevistos originados por
desastres naturales o humanos, catalogados como situaciones de emergencia que
pueden afectar el normal funcionamiento de los Centros de Procesamiento de
Informacin de ESSALUD y en consecuencia los recursos, atenciones y servicios
soportados por los mismos;
Que, el literal b). del Articulo 9 de la Ley N 27056, Ley de Creacin del Seguro Social
de Salud, establece que le compete al Gerente General, dirigir el funcionamiento de la
Institucin, emitir las directivas Y. los procedimientos internos necesarios, en
,,:;.TL<;.. concordancia con las polticas, lineamientos y dems disposiciones del Consejo
("/'>rr." . : ~', Directivo y del Presidente Ejecutivo;
"" " swct.o , ..
\\>. "' ' ,. ' '1:
,j
\~~1, ...::,~ ;.
-.:.::.~~:
EsSalud
MAS SALUD Pf<RA MAS PERUANOS
SE RESUELVE:
REGSTRESE Y C UNQUESE.
1de39
DIRECTIVA DE GERENCIA GENERAL N 004 -GG-ESSALUD-2006
INDICE Pgina
1. Objetivo 3
2. Finalidad 3
3. Base Legal 3
4. Alcance 4
5. Responsabilidad 4
6. Conceptos de Referencia 5
7. Disposiciones 6
Disposiciones Complemntarias 17
21
Anexos
21
Anexo N 01 - Metodologa Para el Desarrollo de Planes de Contingencias
Informticos
Anexo N 02 - Diagrama de Aprobacin de los Planes de Contingencias 38
Informticos Integrales
39
Anexo N 03 - Formato para el Registro de Actividades de Ja Simulacin
/
!:
2 de 39
DIRECTIVA DE GERENCIA GENERAL N 004 -GG-ESSALUD-2006
1. OBJETIVO
Definir las polticas, roles, acciones y responsabilidades necesarias para contar con
instrumentos debidamente planificados que permitan hacer frente ante eventos
catalogados como situaciones de emergencia que alteran el normal funcionamiento de
los Centros de Procesamiento de Informacin de EsSalud, y en consecuencia afectan
a los recursos, atenciones y servicios soportados por los .mismos.
2. FINALIDAD
3. BASE LEGAL
Ley N 27056, Ley de Creacin del Seguro Social de Salud (ESSALUD) y el Decreto
Supremo N 002-99-\R que aprob su reglamento.
Resolucin de Contralora N 072-98-CG Normas Tcnicas de Control Interno para
el Sector Pblico NTC 500 - Normas Tcnicas de Control Interno para Sistemas
Computarizados.
Resolucin Ministerial N 224-2004-PCM, uso obligatorio de la Norma Tcnica
Peruana "NTP-ISO/IEC 17799:2004 EDI. Tecnologa de la Informacin. Cdigo de
Buenas Practicas para la Gestin de la Seguridad de la Informacin. 1" Edicin" en
entidades del Sistema Nacional de lnformatica.
Reglamento Interno de Trabaj-;-laprobado por Resolucin de Presidencia Ejecutiva
N 139-PE-ESSALUD-99"y sus modificatorias.
Resolucin de Gerncia General N 1070-GG-ESSALUD-2000 que aprob la
Directiva N 018-GG,ESSALUD-2000, Normas para la Formulacin de Documentos
Tcnicos Normativos de Gestin en el Seguro Social de Salud (ESSALUD).
Resolucin de Gerencia General N 378-GG-ESSALUD-2003, que aprob la
Directiva N 004-GG-ESSALUD-2003 "Normas de Dependencia Funcional de las
Areas de lnformatica de EsSalud".
Resolucin de Presidencia Ejecutiva N 927-PE-ESSALUD-2003 que aprob la
-- - Estructura Organica y el Reglamento de Organizacin y Funciones de EsSalud .
.1.<:>"-;.:;;;;;,, Resolucin de Presidencia Ejecutiva N 957-PE-ESSALUD-2003 que aprob la
!..,f.~.i;i:;;,r ,;;;:i> Estructura Organica y el Reglamento de Organizacin y Funciones de la Gerencia
\1
. ....... ~7/ de Divisin de Administracin y Organizacin.
:. ,, ' Resolucin de Gerencia General N 236-GG-ESSALUD-2005, que aprob la
' Directiva N 002-GG-ESSALUD-2005 "Polticas de Seguridad lnformatica de
sSalud" .
r'
. .,
,/(.-,
,111~\
(e_/ \r' .~
V
\
l 1
l' I; l' 10U. ~~\ 3 de 39
... ' 0:1
~Ji
\~~. . '" ~ !1,Jl
\..,'f'~ '.:;./
'~.!;..9-="'
4. ALCANCE
5. RESPONSABILIDAD
Gerentes de Divisin.
Gerentes Centrales.
Jefes de las Oficinas.
Gerentes Generales de Hospitales Nacionales.
Gerentes Administrativos de Redes Asistenciales.
Gerentes Administrativos de los Institutos Especializados.
Responsabilidades de Uso
Usuafios, los usuarios son aquellas personas que utilizan la informacin como
parte de su trabajo diario.
4 de39
Los Responsables de la Informacin, los Custodios y los Usuarios son responsables
de conocer y cumplir las polticas, procedimientos y normas establecidas en seguridad
informtica.
6. CONCEPTOS DE REFERENCIA
Activos Informticos: Son bienes tangibles e intangibles asociados con los sistemas
de informacin, como son los activos de informacin ( archivos y base de
datos, documentacin, manuales, planes de continuidad), activos de software
(aplicacin, sistema operativo, herramientas de desarrollo), activos fisicos
(computadoras personales, equipos de comunicacin, medios magnticos) y servicios
(alumbrado, energia, aire acondicionado).
DISPOSICIONES
i. Comit Ejecutivo: Comit que dirige las acciones antes, durante y despus
de una Situacin de Emergencia.
ii. Comit de Apoyo: Comit que elabora y dirige la ejecucin de los Planes de
Contingencias Informticos, asimismo es responsable de dirigir y coordinar la
simulacin de dichos Planes.
'1!.2~~:~--~~-s.~-~-~~
- . .,. ..
. - "" ~ ; -.
COMIT PERIODICIDAD
Comit Ejecutivo Mnimo 2 veces al ao
Comit de Apoyo Mnimo 4 veces al ao
.
La convocatoria _a Sesiones Extraordinarias para todos los Comits es a
iniciativa de quienes la presiden, a demanda de dos de sus miembros o a
peticin de la Ge:encia General o de la Presidencia Ejecutiva.
10 de 39
7.3. De la Aprobacin del Plan de Contingencias Informtico
::;::-.~~!JI Los Planes de Contingencias Informticos Integrales una vez aprobados por la
1
'' ''"' Gerencia General, deben formalizarse a travs de una Resolucin de Gerencia
General.
11 de 39
Una copia de los Planes de Contingencia Informticos Integrales aprobados es
remitida en calidad de custodia y respaldo al Centro de Almacenamiento
Externo del Centro de Cmputo de la Sede Central.
13 de 39
iii. Reubicacin del Centro de Cmputo de la Sede Central o de los Centros de
Soporte Informtico.
15 de 39
g) Quien preside el Comit Ejecutivo convoca a sus miembros para
evaluar y atender el informe del Comit de Apoyo.
16 de 39
ii. Informar de los incumplimientos de las normas de seguridad y proteccin,
para las acciones de correccin respectivas.
iii. Supervisin del registro de la bitcora de incidencias diarias.
iv. Verificar que se proceda con el mantenimiento preventivo programado a los
equipos y dispositivos informticos.
v. Verificacin del correcto funcionamiento del aire acondicionado, grupo
electrgeno y el UPS.
vi. Entrega mensual a la Oficina de Seguridad Informtica sobre el estado de
las labores de prevencin realizadas.
8. DISPOSICIONES COMPLEMENTARIAS
Una fase se da m1c10 siempre y cuando la fase que la antecede haya sido
concluida, las actividades contenidas en el concepto "Resultado que indica la
culminacin de la fase" deben ser culminadas en su totalidad para dar por concluida
dicha fase.
19 de 39
..
,_.. '
~
t\j/':,if'...t.:!;-5asuu
". ,< '
r
".-
-, ..-!
" ', i, _;
'
:'' .. ,, .
9. ANEXOS
ANEXO N 01
Acciones de Emergencia.
Formacin de Equipos de Emergencia.
i. Acciones de Emergencia
Durante el da
Durante la noche o madrugada
Este plan debe incluir la participacin y actividades a realizar por todas y cada una
de las personas que se pueden encontrar presentes en el rea donde ocurra el
siniestro.
Evaluacin de Daos.
Priorizacin de Actividades del Plan de Contingencia.
Ejecucin de Actividades.
Evaluacin de Resultados.
Retroalimentacin del Plan de Contingencia.
22 de 39
1. Evaluacin de Daos.
Una vez concluidas las labores de Recuperacin del(de los) Sistema(s) que
fue(ron) afectado(s) por el siniestro, debemos de evaluar objetivamente, todas
las actividades realizadas, qu tan bien se hicieron, qu tiempo tomaron, qu
circunstancias modificaron (aceleraron o entorpecieron) las actividades del plan,
cmo se comportaron los equipos de trabajo, entre otros.
B. Fases de la Metodologa
Son ocho (8) fases que se recomiendan utilizar como base en la elaboracin del
Plan de. Contingencias Informtico, sin embargo; .los responsables de la elaboracin
los emplearn y desarrollarn conforme a las caractersticas tcnicas actuales de
su mbito laboral.
23 de 39
,;. ';<
~--~."...:.,;:g.:r
.-~:.~.. E->lf:' ~- ":3 , ..,.it
.~ ~ .,-3>,:,.e,,t.,.,~
.j ,
,_ ,. , < ,, -. ~1. ~ , ",,,. '
1. Planificacin
24 de 39
1.1 Inventario de Recursos Informticos.
!Entidad. 1
l~Externa2
!Entidad
Externa 1
1
i
lSubproceso 3 subproceso 4j
.. ..
Entidad Entidad
Externa 3 Externa 4
1
Figura N 1
26 de 39
i
, - - - - 1. '
'
Informacin 1 1 ! !
!
Poodemdo d~J
'
Posibilidad de
~
1
Identificacin de 1
1
Ocurrencia de
Amenazas H
i 1
Vulnerabilidades H
i
!
1
'
Vulnerabilidades
.
:
1
r
Estimado del Valor de
!
27 de 39
g) Estimado del Valor de los Activos en Riesgo.- Este elemento es
fundamental para evaluar y dimensionar el riesgo. El Comit de Apoyo
debe determinar el estimado del dao econmico que el riesgo puede
causar a los activos de informacin.
28 de 39
A'itJ;sS.lud
-_.. '. '-~1 -,-,.;~--~
Tabla N 1
A A A
"A - Falsificacin
- Alteracin
B
B
- Deficiencia envo
- Acceso no autorizado
A
A A M
!: - Privacidad A - Control documentos M
,:~/~
- .. _.--;0..-
.<.:;->_~
((~~::~:i~',~;- \
1 !
- -_
(.;c. :",-"",;.
~,..,
'\t~s'.:,LA_<~'.;3~
29 de 39
E~..;.,$.lt~~~
-., .-.
'
3. Identificacin de Soluciones
Ejemplo
Matriz de Identificacin de Soluciones
4. Estrategias y Elaboracin
30 de 39
c) La determinacin de los impactos de las soluciones seleccionadas para
contrastarlos con estrategias de reduccin de gastos, como puede ser la
seleccin de una solucin para cubrir varios riesgos.
31 de 39
a) Nmeros de telfono o direcciones actualizados del personal de
contacto y los nmeros de telfono de las organizaciones de
asistencia que pudieran requerirse.
32 de 39
a) Simulacin Especifica
33 de 39
k) Distribuir una copia de la parte del Plan de Contingencias Informtico a
ser ejecutado, a todos los miembros del Equipo de Recuperacin.
La prueba final debe ser una prueba integrada que involucre todas las
reas de la Institucin. La capacidad funcional del plan de contingencia
radica en el hecho, de que tan cerca se encuentren los resultados de la
prueba con las metas planteadas. A continuacin, se presenta un
diagrama de bloques que representa los pasos necesarios, para la
ejecucin de las pruebas del Plan de Contingencias 1nformtico.
Proceso de Simulacin del Plan de Contingencias Informtico
~~~~~car
T al personal que h~r la _____ [
_---------i------ --
!; Preparar el Plan de Pruebas
;
_, ------------------------- _J
,---- ______ j._______________ ---1
Ejecutar el Plan y Observar el [
comportamiento 1
El Plan
est OK?
No
Comit de
Apoyo
No
i
Emitir Informe, enviar una
copia al Comit Ejecutivo,
y al Organo de Control,
'" Institucional.
Evaluar
recomendaciones
1
....
Mantenimiento
[ del Plan
Instancias de
aprobacin
J
Difusin e
1 Implantacin
35 de 39
6.5. Entorno de la Simulacin del Plan de Contingencias Informtico
N Indice Descripcin
1 Pruebas de alcances y El estado que se piensa lograr tras la
Objetivos realizacin de las pruebas.
36 de 39
. ".-
37 de 39
~ i~ -
ANEXO N 02
Elaboracin
del Plan de Comit de Apoyo ..,...._--11..~Gere nci a de
Contingencias Produccin
Gerencia Central
Comit ........--1~~ de Organizacin e
Brinda Conformidad Ejecutivo Informtica
al Plan de Contingencia
NO
SI
Gerencia
General .. 1111 Gerencia General
Aprueba el Plan de
Contingencia
NO
SI
Difusin e
Implementacin
38 de 39
ANEXO N 03
Bitcora de Incidencias
...
--
--
--
39 de 39