Plan Tratamientoriesgos 2023

MANUAL DE PROCESOS GERENCIALES PG-01-F-02-5
FECHA VERSIÓN
PLANEACIÓN Y GESTIÓN ADMINISTRATIVA
03/01/2022 5
PLAN DE TRATAMIENTO DE RIESGO DE SEGURIDAD
Página 1 de 28
Y PRIVACIDAD DE LA INFORMACION
Plan de Tratamiento de riesgo de Seguridad

y Privacidad de la información
1
Calle 5 Nº 7-49 B Centro-Municipio de Villa del Rosario-Norte de Santander
Página WEB: www.esehjcs.gov.coTelf.: 5829960
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 2 de 28
TABLA DE CONTENIDO
Pág.
PRESENTACION
1. MARCO LEGAL 5
2. OBJETIVOS 6
3. ALCANCE DOCUMENTO 7
4. GENERALIDADES DE LA ESE HOSPITAL 8
5. DIRECCIONAMIENTO ESTRATÉGICO 12
6. POLITICA 14
7. PROCESOS DE ACEPTACIÓN DE LAS POLÍTICAS Y 15
NORMAS
8. RESPONSABILIDADES 22
9. GLOSARIO 24
2
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 3 de 28
PRESENTACION.
Los sistemas de computación, las aplicaciones de mensajería y correo electrónico, la utilización

de Internet, y la utilización de otros recursos electrónicos se han convertido en herramientas
necesarias e importantes para los diferentes procesos. La ESE provee a su personal con distintos
recursos electrónicos, cuyo propósito es optimizar los servicios brindados, realizar funciones
oficiales relacionadas a su puesto de trabajo, apoyar las distintas iniciativas y proyectos
institucionales, y garantizar que el personal tiene a su alcance las herramientas tecnológicas
necesarias para dichos procesos.
Sin embargo, la provisión y disponibilidad de estos recursos requieren que se establezcan

políticas relacionadas a la utilización de los mismos de manera que se garantice la utilización
correcta y óptima de los recursos. Además de esto, es necesario establecer políticas que protejan
la información confidencial manejada a través de sistemas electrónicos.
El plan de tratamiento de riesgos de seguridad, en la línea de acción Gestión de la Información,

cuyo objetivo es disponer de la información apropiada para el desarrollo de las funciones de la
ESE, la cual busca gestionar información confiable, integra y oportuna para el desarrollo de las
actividades de la ESE. Así mismo, este plan apoya la implementación de controles y acciones
tendientes a la mitigación de los riesgos del proceso de gestión tecnológica, apoya el
cumplimiento del Modelo integrado de planeación y gestión del MINTIC, dentro de su política
de gobierno Digital
3
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 4 de 28
1. MARCO LEGAL
Dentro del marco normativo, en forma general se citan las principales normas:
NORMA DESCRIPCION
Resolución 3564 de 2015 Reglamenta aspectos relacionados con la Ley de
Transparencia y Acceso a la Información Pública.
Por medio del cual se expide el Decreto Único

Decreto 1078 de 2015 Reglamentario del Sector de Tecnologías de la
Información y las Comunicaciones.
Por el cual se establecen los lineamientos generales de la
política de Gobierno Digital y se subroga el capítulo 1 del
Decreto 1008 de 2018 título 9 de la parte 2 del libro 2 del Decreto 1078 de 2015,
Decreto Único Reglamentario del sector de Tecnologías de
la Información y las Comunicaciones.
CONPES 3854 de 2016 Política Nacional de Seguridad Digital
Implementación de la política de Gobierno Digital.
Manual para la
Decreto 1008 de 2018 (Compilado en el Decreto 1078 de
Implementación de la Política
2015, capítulo 1, título 9, parte 2, libro 2) Versión 7, abril
de Gobierno Digital
de 2019
Se encuentra alineado con el Marco de Referencia de
Arquitectura TI y soporta transversalmente los otros
Modelo de Seguridad y componentes de la Política de Gobierno Digital, TIC para
privacidad de la información el Estado y TIC para la Sociedad. TIC, que son habilitados
- MSPI por tres elementos transversales: Seguridad de la
Información, Arquitectura y Servicios Ciudadanos
Digitales
Tecnología de la información. Técnicas de seguridad.
NTC / ISO 27001:2013 Sistemas de gestión de la seguridad de la información
(SGSI).
NTC/ISO 31000:2009 Gestión del Riesgo. Principios y directrices.
Guía para la administración Riesgos de Gestión, Corrupción y Seguridad Digital
del riesgo y el diseño de Función Pública octubre 2018
controles en entidades
públicas – Versión 4
4
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 5 de 28
2. OBJETIVOS.
2.1 OBJETIVO GENERAL.
Desarrollar un Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información, el

cual sea una guía para el control y minimización de los de los riesgos y así proteger la privacidad
de la información y los datos tanto de los procesos como de las personas vinculadas con la
información de la institución.
2.2 OBJETIVOS ESPECIFICOS.
 Mantener actualizada la situación actual de la ESE en materia de riesgos de seguridad y

privacidad de la Información.
 Formulario de aceptación en la aplicación del Plan de Tratamiento de Riesgos de
Seguridad y Privacidad de la Información en el personal contratado por la ESE.
 Establecer el plan de tratamiento de riesgos.
 Realizar seguimiento y control a la eficacia del plan de tratamiento de riesgos.
5
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 6 de 28
3. ALCANCE DOCUMENTO.
Esta política rige la utilización de los computadores y estaciones de trabajo, las redes de
telecomunicaciones, el acceso a Internet, el sistema de correo electrónico, y otros dispositivos
tecnológicos pertenecientes a la E.S.E Hospital Jorge Cristo Sahium, junto a la información
manejada a través de dichos sistemas. Esta política rige la utilización de los sistemas antes
mencionados por parte de los funcionarios administrativos, operativos y toda persona externa
realizando labores para la E.S.E.
.
6
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 7 de 28
4. GENERALIDADES DE LA ESE HOSPITAL.
4.1 Reseña.
Los servicios de Salud en el municipio de Villa del Rosario iniciaron en el año de 1962, cuando
el medico Gabriel Gómez dona el terreno para la construcción del puesto de salud, el cual fue
levantado con el apoyo de los vecinos de la localidad; en el año de 1987, sufrió su primera
transformación y se convirtió en unidad básica dependiente del hospital Erasmo Meoz; Prestando
servicios médicos las 24 horas del día.
Siendo director del Hospital Erasmo Meoz el Doctor Eduardo Benítez y alcalde Municipal el
Doctor Octavio Martínez Acuña se inicia las obras de construcción de algunos servicios, como la
sala de hospitalización, sala de partos y sala de cirugía.
Para el año de 1997 se conformó un grupo interdisciplinario liderado por el coordinador de la

unidad básica Villa del Rosario el Doctor Juan Alberto Bitar Mejía quienes inician su trabajo en
coordinación con el Instituto Departamental de Salud para buscar la descentralización de la
unidad básica y así poderla transformar en una Empresa Social del Estado conforme a los
parámetros establecidos por la ley 100 de 1993.
Una vez cumplidos los requisitos exigidos para la descentralización el honorable Concejo
Municipal mediante acuerdo 043 del 16 de septiembre de 1998, autoriza la transforma de unidad
básica en “E.S.E” Empresa Social Del Estado.
En el año 2000 por Gestión del alcalde municipal el Doctor Octavio Martínez acuña y la
gobernación del departamento; se firma el documento de descentralización que faculta al
municipio para prestar los servicios de salud de primer nivel de atención; del 1 de abril al 30 de
junio del 2000, existió un periodo de transición donde se dependía administrativa y
financieramente del servicio seccional de salud.
7
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 8 de 28
Desde el 1 de julio hasta el 27 de diciembre del 2000; se nombró Gerente encargado de la E.S.E
al Doctor Juan Alberto Bitar Mejía, quien fue nombrado Gerente por un periodo fijo de tres años
y posteriormente fue ratificado en el cargo como Gerente de la E.S.E Hospital Jorge Cristo
Sahium por un segundo periodo de tres años en el cargo.
De acuerdo al crecimiento poblacional y la demanda de los servicios se crea la necesidad de

presentar un proyecto de ampliación y dotación de la planta física de la E.S.E ante el Ministerio
de salud; el cual fue ejecutado en los años 2002 y 2003 cuando se construyeron las áreas de
consulta externa, urgencias, hospitalización, laboratorio clínico y áreas administrativas, sala de
Rayos X con su respectiva dotación; en la administración del Dr. Ingmar Abel Sánchez Espinel,
inaugurada el 07 de agosto del 2003 con la presencia del ministro de la protección social el
doctor Diego Palacios Betancourt.
Para el periodo 2012 al 2015, en busca de una empresa auto sostenible y líder en prestación de
servicios de salud reconocida a nivel departamental por la atención humanizada con estándares
de calidad, se unen esfuerzos bajo el plan de desarrollo municipal “Para tener la ciudad que nos
merecemos”, siendo Alcalde Carlos Julio Socha Hernández y Erika Aparicio León, Gerente que
bajo el Plan de desarrollo institucional “Servicios con calidad un camino a la Acreditación”, se
planifico una renovación tecnológica y de infraestructura que permitiera llevar a la ESE, por
caminos de acreditación promoviendo bienestar integral para la población Rosariense, con esa
visión se inician obras importantes, como Adecuación y mejoramiento de las instalaciones
locativas del Puesto de Salud Lomita, La Parada, Juan Frio y Palogordo en miras de mejorar la
prestación de servicios y ampliación de ellos. La compra de importantes equipos biomédicos
como Equipo rayos X, digitalizador de imagen indirecta, impresora de acetato para radiología
digital sistema de imagen laser; 2 ecógrafos. Renovación tecnológica e informática, donde se
cierra la brecha de las Tic con la implementación de la página web y la renovación del 100% de
los equipos de sistemas, así como su licenciamiento. Remodelación de redes eléctricas de media
y baja tensión e instalación de subestación eléctrica, la ESE fija su visión a la puesta en marcha
de servicios importantes como cirugías que permitiría estar a la vanguardia de las nuevas
tecnologías. Renueva el parque automotor con la adquisición de 2 vehículos tipo TAB y un
8
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 9 de 28
vehículo tipo unidad móvil médica, con servicios de odontológica y laboratorio. Además con la
adecuación, mejoramiento y dotación de las instalaciones locativas de la E.S.E hospital Local
Jorge Cristo Sahium, se apuntó a estar en la vanguardia de las nuevas exigencias del Ministerio
de protección social en cuanto al cumplimiento de las condiciones básicas de capacidad
tecnológica y científica, de suficiencia patrimonial y financiera y de capacidad técnico
administrativa, indispensables para la entrada y permanencia en el Sistema Único de
Habilitación, los cuales buscan dar seguridad a los usuarios frente a los potenciales riesgos
asociados a la prestación de servicios.
En la actualidad la E.S.E hospital Local Jorge Cristo Sahium, es la única entidad pública que
presta los servicios de salud de baja complejidad a la población del Municipio de Villa del
Rosario y a la población flotante del vecino municipio de San Antonio del Táchira.
4.2 Naturaleza y objeto.
La Unidad Básica de Villa del Rosario se transforma en ESE, el 16 de septiembre de 1998

mediante el Acuerdo 043 de 1998 aprobado por el Concejo Municipal.
Artículo 1. De naturaleza jurídica. Transfórmese la Unidad Básica de Villa del Rosario en una
Empresa Social del Estado (E.S.E), como categoría especial de entidad pública municipal,
descentralizada, dotada con personería jurídica, patrimonio propio y autonomía administrativa,
adscrita a la dirección Local de salud e integrante del Sistema General de Seguridad Social en
salud, sometida al Régimen Jurídico previsto en la ley 100 de 1993 y sus decretos
reglamentarios.
Artículo 2. El objeto de la Empresa Social del Estado, será la prestación de servicios de salud de
primer nivel de atención, entendido como un servicio público esencial a cargo del estado, y en
desarrollo de este objeto, adelantara acciones de promoción, prevención, tratamiento y
rehabilitación de la salud, así como actividades que busquen el mejoramiento de las diferentes
unidades que conforman la institución en beneficio del objeto social.
9
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 10 de 28
4.3 Objetivos.
Artículo 5. Son objetivos de la empresa, los siguientes:
a. Contribuir al desarrollo social del país mejorando la calidad de vida y reduciendo la

morbilidad, la mortalidad, la incapacidad, el dolor y la angustia evitable en la población
usuaria, en la medida en que esto esté a su alcance.
b. Producir servicios de salud eficientes y efectivos, que cumplan con las normas de calidad
establecidas, de acuerdo con la reglamentación que se expide para tal propósito.
c. Garantizar mediante un manejo general su funcionamiento y rentabilidad, económica,
financiera y social.
d. Permitir la interacción de la participación ciudadana y comunitaria establecidos por la ley y
los reglamentos.
e. Desarrollar la estructura y capacidad operativa de la empresa mediante la aplicación de
principios y técnicas gerenciales que aseguren su supervivencia en el tiempo, su crecimiento,
la calidad en la utilización de sus recursos, capacidad competitiva en el mercado y
rentabilidad social y financiera.
10
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 11 de 28
5. DIRECCIONAMIENTO ESTRATÉGICO.
5.1 Misión.
La E.S.E. Hospital Jorge Cristo Sahium, IPS que presta servicios de salud de primer nivel de
atención a la Comunidad Rosariense y su área de influencia, con talento humano idóneo,
recursos tecnológicos e infraestructura adecuada. Enfocado en el mejoramiento continuo de
procesos, Humanización de los servicios, seguridad del paciente, satisfacción del usuario para
contribuir al mejoramiento de la calidad de vida de la población por medio de la promoción y
mantenimiento de la salud.
5.2 Visión.
Para el año 2.024 La ESE Hospital Local Jorge Cristo Sahium de Villa del Rosario, IPS de baja
complejidad con servicios de segundo nivel ambulatorio, Empresa auto sostenible y líder en
prestación de servicios de salud reconocida por su contribución social y atención humanizada
con estándares de calidad
5.3 Objetivos.
5.3.1 Objetivo General.
Prestar servicios de salud de baja complejidad a la población Rosariense y de su área de

influencia con calidad en las diferentes áreas, mediante acciones de promoción de la salud y
prevención de la enfermedad, garantizando atención oportuna segura y humanizada para
disminuir la morbi-mortalidad de la población.
5.3.2 Objetivos Específicos.
11
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 12 de 28
 Desarrollar programas educativos de promoción y prevención en salud publica en el

municipio de Villa del Rosario y sus áreas de influencia.
 Realizar actividades Extramurales conjuntas en coordinación con los demás actores del
sistema con el fin de satisfacer las necesidades básicas de la población Rosariense.
 Garantizar la atención en las diferentes áreas a los usuarios de manera continua e
ininterrumpida, como los establecen las normas que regulan la prestación de los servicios
públicos de salud.
 Disminuir la morbi-mortalidad de la población del municipio de Villa del Rosario mediante
acciones de detección temprana y protección específica.
 Ampliar la oferta de servicios con el fin de atender un mayor número de usuarios.
 Fomentar la participación ciudadana teniendo en cuenta las sugerencias que realicen las
diferentes organizaciones comunitarias, con el fin de optimizar la prestación de los
servicios.
5.4 Principios Corporativos.
5.4.1 Accesibilidad.
Es la posibilidad que tiene el usuario de utilizar los servicios de salud que le garantiza el Sistema
General de Seguridad Social en Salud.
5.4.2 Oportunidad.
Es la posibilidad que tiene el usuario de obtener los servicios que requiere, sin que se presenten
retrasos que pongan en riesgo su vida o su salud. Esta característica se relaciona con la
organización de la oferta de servicios en relación con la demanda y con el nivel de coordinación
institucional para gestionar el acceso a los servicios.
5.4.3 Seguridad.
12
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 13 de 28
Es el conjunto de elementos estructurales, procesos, instrumentos y metodologías basadas en

evidencias científicamente probadas que propenden por minimizar el riesgo de sufrir un evento
adverso en el proceso de atención de salud o de mitigar sus consecuencias.
5.4.4 Pertinencia.
Es el grado en el cual los usuarios obtienen los servicios que requieren, con la mejor utilización
de los recursos de acuerdo con la evidencia científica y sus efectos secundarios son menores que
los beneficios potenciales.
5.4.5 Continuidad.
Es el grado en el cual los usuarios reciben las intervenciones requeridas, mediante una secuencia
lógica y racional de actividades, basada en el conocimiento científico.
5.4.6 Política de Calidad.
La organización propenderá por garantizar al cliente externo servicios accesibles y equitativos

logrando satisfacción y adhesión al mejor costo beneficio posible.
Utilizando herramientas de gestión de la organización fundamentados en procesos asistenciales,

talento humano, gestión de recursos. Para lograr objetivos planteados. Por lo anterior la
organización se compromete a cumplir con los requisitos del SOCG, ejecutar todos los procesos
y requerimiento para lograr articular la empresa en busca de la mejora continua.
5.4.7 Política Ambiental.
La E.S.E. hospital “Jorge Cristo Sahium”, Municipio de Villa del Rosario compromete a dar
cumplimiento de todas las normas ambientales, fomentando la participación de todos los niveles
de la organización que genere un compromiso individual y colectivo de autocuidado en cada uno
de los trabajadores además establece la prevención y control de los factores de riesgo la
13
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 14 de 28
permanente búsqueda del cumplimiento de las normas ambientales y sanitarías vigentes,

contribuyendo a la protección, preservación de la contaminación, mejoramiento continuo y uso
óptimo de los recursos físicos y el talento humano necesario para minimizarlos impactos
ambientales negativos generados por el funcionamiento de la entidad.
7. POLÍTICA.
En general, los recursos tecnológicos utilizados en la Institución, y la información manejada a

través de los mismos, son propiedad de la E.S.E, y solamente pueden ser utilizados para
propósitos debidamente autorizados y relacionados con la operación Institucional. Dicha
utilización debe seguir normas establecidas dentro de esta política. Sin embargo, la Institución se
guarda el derecho de modificar esta política en cualquier momento, adaptándola a los cambios y
evolución tecnológica según sea determinado necesario. También, la E.S.E, se guarda el derecho
de aprobar cualquier otra norma o política adicional relacionada a la operación de recursos
tecnológicos.
Dado que los recursos tecnológicos y la información contenida son propiedad Institucional,
ambos pueden estar sujetos en cualquier momento a la inspección, monitoreo y auditoria por
parte del Área de sistemas de información y tecnología y de la oficina de control interno de
gestión. Los usuarios no tienen ninguna expectativa de intimidad en relación con la utilización de
los recursos tecnológicos, o en relación con la información contenida, accedida u obtenida a
través de estos recursos o en la realización de sus funciones.
La violación de las normas de Uso Aceptable de Recursos Tecnológicos o de las normas de Uso
Aceptable de la Información, así como la violación de esta política, conllevará la aplicación de
acciones disciplinarias. Estas violaciones pueden también con llevar acción legal en contra del
usuario. Si la acción, o inacción y descuido, de un usuario causara el daño o desperfecto de un
recurso tecnológico institucional, dicho usuario es responsable de notificar al Área de sistemas
de información y tecnología inmediatamente o a la brevedad posible. En caso de pérdida o robo
de equipo, la Institución se reserva el derecho de establecer costo de dicho equipo y cobrarle al
usuario dicho costo.
14
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 15 de 28
8. PROCESOS DE ACEPTACIÓN DE LAS POLÍTICAS Y NORMAS.
La aceptación de esta política, y cualquier otra norma relacionada, por parte del usuario ocurre
por medio de cualquiera de los siguientes eventos:
1. La firma del Formulario de Aceptación – Política de Uso Aceptable de Recursos
Tecnológicos, contenida en el final de esta política. El Área de Recursos Humanos manejará
la firma de dicha forma.
2. El uso de los mecanismos de aceptación, seguridad y control de acceso a cualquiera de los
recursos tecnológicos Institucionales.
3. La solicitud de nombre de usuario y clave de acceso a los sistemas de información.
La Institución está autorizada a realizar cambios, modificaciones y correcciones a esta política en

cualquier momento, con el fin de cumplir con cualquier exigencia o reglamentación legal,
reforzando la seguridad de los recursos tecnológicos y de los usuarios.
Uso Aceptable de Recursos Tecnológicos:
Se considera Uso Aceptable de Recursos Tecnológicos el uso de los recursos tecnológicos de la

E.S.E Hospital Jorge cristo Sahium, de una forma legal y ética, en apoyo de las funciones que los
usuarios tengan asignadas como parte de sus funciones. Dicho uso debe ser en volumen
apropiado, sin abusar de dichos recursos de manera ineficiente.
Las siguientes pautas delinean el Uso Aceptable de Recursos Tecnológicos:

1. Los usuarios de la E.S.E, utilizaran los recursos tecnológicos institucionales con el
propósito de manejar e intercambiar información cuyo contenido esté relacionado a la
producción, gestión administrativa, o necesario para el desempeño de las funciones asignadas.
15
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 16 de 28
2. La utilización de computadores, estaciones de trabajo, computadores portátiles, y

cualquier otro equipo de computación debe ser accedido utilizando la cuenta de usuario y
contraseña asignada previamente al usuario. El usuario se compromete a usar de forma única e
individual la cuenta de usuario y contraseña asignada.
3. Los datos y archivos que contengan información relacionada de cualquier forma a la
operación de la E.S.E, serán guardados únicamente en recursos tecnológicos institucionales.
4. Todos los datos y archivos creados, obtenidos o almacenados utilizando recursos
institucionales son propiedad exclusiva de la E.S.E y es requerida autorización explícita para la
extracción o portación de dichos datos. Dicha extracción o portación de datos tendrán el único
propósito de realizar gestiones autorizadas y relacionadas con la operación de la E.S.E.
5. La utilización de recursos tecnológicos institucionales tiene el único propósito de realizar
funciones en relación con las tareas asignadas al usuario de la E.S.E.
Se considera uso no aceptable de recursos tecnológicos:

1. La transmisión de información o llevar a cabo acciones que vayan en contra de las normas
y políticas, misión y visión, reglamentaciones legales, o atenten contra la ética y moral de
la Institución.
2. La utilización de recursos tecnológicos con fines personales, privados, lúdicos o de lucro
para el usuario.
3. La creación o transmisión de material que cause incomodidad a otros usuarios.
4. La circulación de información difamatoria de cualquier tipo.
5. La utilización u obtención de cuentas de usuario y contraseñas ajenas.
6. Obtener, transmitir o distribuir material de forma electrónica en violación de los derechos
de propiedad intelectual.
7. Llevar a cabo acciones que causen congestión de las Redes de Telecomunicaciones, o
atenten contra la operación Institucional.
8. La utilización de equipos o programas con el propósito de violentar los controles sistémicos
implantados Institucionalmente para el control y monitoreo de utilización de recursos.
9. La utilización de programas no autorizados o no licenciados por la Institución en los
recursos tecnológicos Institucionales.
16
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 17 de 28
10. La utilización de equipos de computación personales o ajenos a la Institución en las Redes

de Telecomunicaciones sin la debida autorización del Área de sistemas.
11. La utilización de dispositivos de almacenamiento externos para manejar información sin la
debida autorización de la Gerencia ni la debida notificación al Área de sistemas.
12. Actos de un usuario en violación de la privacidad e intimidad de otros usuarios.
13. Actos de un usuario que causen el deterioro de las funciones y tareas de otros usuarios.
14. Proporcionar cuentas de usuario, contraseñas, o cualquier otro tipo de acceso no autorizado
a otros usuarios.
15. Conexión, desconexión o reubicación de recursos tecnológicos Institucionales sin la debida
autorización explícita del Área de sistemas.
16. Cualquier acto vandálico o en detrimento de los recursos tecnológicos Institucionales.
17. Todo y cualquier otro acto análogo o relacionado a lo antes descrito, o que guarde un fin
similar.
Uso Aceptable – Acceso a Internet:
En adición a las normas arriba escritas, el acceso a Internet conlleva normas adicionales
relacionadas a su utilización. Según mencionado anteriormente, los usuarios no tienen ninguna
expectativa de intimidad en relación con la utilización de los recursos tecnológicos, o en relación
con la información contenida, accedida u obtenida a través de estos recursos o en la realización
de sus funciones. Esto se extiende al acceso de los usuarios a Internet. La Institución
monitoreará, controlará y fiscalizará el acceso de los usuarios al Internet utilizando recursos
tecnológicos Institucionales a través del Área de sistemas. Cualquier violación o uso indebido del
acceso a Internet conllevará acción disciplinaria, y pudiera conllevar acción legal.
Se considera uso aceptable del acceso a Internet para la búsqueda de información e intercambio
de datos relacionado a la producción, gestión administrativa, y toda otra función relacionada a la
operación Institucional.
Sin embargo, existen excepciones y usos no aceptables del acceso a Internet. Estos son:
1. Acceso de los usuarios a material pornográfico, racista, violento, difamatorio, o de cualquier
naturaleza ilegal o que pueda ser considerado ofensivo por otros usuarios.
17
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 18 de 28
2. Acceso, descarga o distribución de material a través de Internet en violación a los derechos de

propiedad intelectual o derecho de autor.
3. Interferencia a los sistemas de seguridad, control y monitoreo del acceso a Internet, ya sea por
medios de programas o por medio de accesos a páginas que fomenten y apoyen dicha
interferencia.
4. Transmisión de información confidencial Institucional con propósitos personales no
relacionados a las funciones de trabajo o sin autorización.
5. Utilizar el acceso a Internet de forma que se cree congestión o degradación en dicho acceso, o
poner en peligro de cualquier forma la productividad y operación de la Institución.
6. Utilizar el acceso a Internet para cualquier actividad que genere beneficio personal.
7. Realizar compras personales, no relacionados a funciones, a través del acceso a Internet.
8. El acceso a redes sociales utilizando recursos tecnológicos Institucionales.
9. La utilización de los recursos tecnológicos Institucionales con fines recreativos, como por
ejemplo la descarga o acceso en línea de música, o el acceso a canales de transmisión
(“streaming”) de audio y video.
10. El acceso a áreas de conversación o mensajería en línea (“chats”, “chats romos”, “blogs”,
“Messenger”, etc.) utilizando recursos tecnológicos Institucionales.
11. El acceso a sitios de Internet para compartir archivos (“filesharing”, “peer-to-peer”, etc.)
para propósitos no autorizados.
12. La utilización del acceso a Internet o de recursos tecnológicos Institucionales para
acceder y utilizar sistemas de correo electrónico públicos personales, tales como Hotmail,
Yahoo! Mail y Gmail.
13. Cualquier otra acción análoga o relacionada a lo antes descrito, o que guarde un fin
similar.
Uso Aceptable – Sistema de Correo Electrónico:
La Institución provee a todos sus coordinadores de Áreas con cuentas de usuario para un sistema
de correo electrónico institucional. Dicho sistema es el único sistema autorizado por la E.S.E
para el recibo y envío de comunicados oficiales. La utilización del sistema de correo electrónico
y la práctica de comunicaciones electrónicas está regida por las siguientes normas:
18
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 19 de 28
1. Según mencionado anteriormente, los usuarios no tienen ninguna expectativa de

intimidad en relación con la utilización de los recursos tecnológicos, o en relación con la
información contenida, accedida u obtenida a través de estos recursos o en la realización de sus
funciones. Esto se extiende al sistema de correo electrónico, y el usuario no debe tener ninguna
expectativa de intimidad sobre el mismo.
2. La E.S.E se reserva el derecho de inspeccionar, vigilar y fiscalizar la utilización y el
contenido del sistema de correo electrónico. El área de sistemas, será la única oficina autorizada
a realizar este tipo de funciones. Esta inspección puede ocurrir en cualquier momento.
3. El sistema de correo electrónico provisto por el área de sistemas, es el único sistema
autorizado para realizar el recibo y envío de correos electrónicos por los usuarios en sus
funciones de trabajo.
4. Si algún empleado tiene alguna información personal, confidencial o privada que
comunicar no puede utilizar el sistema de correo electrónico Institucional ni ningún recurso
tecnológico Institucional.
5. Ningún mensaje puede ser enviado por el sistema de correo electrónico a menos que sea
por una razón autorizada y relacionada a la operación Institucional.
6. Toda comunicación por correo electrónico debe utilizar un lenguaje correcto, y no se
permitirá el uso de palabras soeces o vulgares.
7. El sistema de correo electrónico Institucional no constituye, de ninguna manera, un
método de almacenamiento de documentación oficial. Toda comunicación electrónica que
contenga documentación oficial debe ser impreso.
8. El sistema de correo electrónico Institucional no puede ser utilizado para enviar o
contestar cadenas de correo o cualquier otro patrón de “pirámide” de mensajes.
Tampoco debe ser utilizado para fines personales ni recreativos.
9. Está prohibido el uso del sistema de correo electrónico Institucional para:
A. Fines comerciales personales del usuario.
B. Enviar virus o código de programación mal intencionado.
C. Distribuir o instalación programas sin licencia ni autorización.
D. Introducir al sistema código dañino.
E. Realizar algún tipo de acoso, difamación, calumnia, intimidación, insulto, o cualquier otra
forma de actividad hostil.
19
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 20 de 28
F. Afectar la operación o funcionamiento de los recursos tecnológicos de la Institución.

G. Enviar mensajes de correo electrónico no solicitados o deseados.
10. El acceso, o intento de acceso, por parte de un usuario a la cuenta de correo electrónico
de otro sin autorización está prohibido. La excepción a esto lo son los procesos de inspección y
auditoria realizados por el área de sistemas.
11. El compartir cuentas y claves de acceso al sistema de correo electrónico Institucional está
prohibido.
12. Cualquier otra acción análoga o relacionada a lo antes descrito, o que guarde un fin
similar, será evaluado.
Uso Aceptable – Otros Equipos Periféricos y Dispositivos Electrónicos:
Además de los recursos tecnológicos mencionados anteriormente, la Institución puede requerir la

utilización de otros equipos periféricos y dispositivos electrónicos como parte de la operación
Institucional. Dicha utilización se rige por las mismas normas mencionadas para los recursos
tecnológicos, e incluye también las siguientes normas:
1. La instalación y utilización de equipos periféricos y otros dispositivos electrónicos sin
autorización explícita del área de sistemas, está terminantemente prohibida. Al detectarse dicha
instalación y utilización, el área encargada tendrá la potestad de comunicar a recurso humano
para realizar llamado de atención.
2. La utilización de dispositivos de almacenamiento externo de datos e información sin
autorización explícita de la Gerencia y el conocimiento previo por el área de sistemas está
prohibida.
3. El usuario es responsable de todo equipo periférico o dispositivo asignado, y cualquier
robo o pérdida puede resultar en el cobro del costo de dicho equipo o dispositivo. El usuario
debe reportar inmediatamente cualquier evento de pérdida, daño o robo de estos equipos.
4. La utilización de equipos periféricos pertenecientes a la E.S.E son para la realización de
funciones oficiales relacionadas a las tareas asignadas a los usuarios. La utilización de
impresoras, copiadoras, digitalizadoras, otros equipos o dispositivos para propósitos personales
está prohibida.
20
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 21 de 28
Uso Aceptable de la Información:
Se considera Uso Aceptable de la Información como el uso y manejo de la información por

medio de los recursos tecnológicos de la Institución de una forma legal y ética, conforme con la
misión y visión, en apoyo de las funciones que los usuarios tengan asignadas como parte de sus
funciones. Las siguientes normas rigen el uso aceptable de información:
1. Cualquier utilización o difusión de la información sin la debida autorización está
prohibida.
2. La utilización de la información relacionada a la operación de la E.S.E, propósitos
personales o de beneficio a terceros requiere autorización explícita, de lo contrario está
prohibida.
3. A todo personal que cese sus funciones para la E.S.E Hospital, le es requerido entregar
toda información relacionada a sus funciones inmediatamente notifica o le es notificado el cese
de sus funciones.
4. El retener, eliminar o difundir información relacionada a la operación de la E.S.E sin la
debida autorización explícita con llevará acción disciplinaria, o acción legal según sea necesario.
21
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 22 de 28
9. RESPONSABILIDADES.
El área de sistemas de la ESE Hospital Jorge Cristo Sahium, responsable de monitorear,

administrar, auditar y fiscalizar los recursos tecnológicos de la Institución. De detectar
violaciones por usuarios a este y otras políticas y normas, el personal de esta Área notificará a la
Oficina de Recursos Humanos y al Gerente o Subgerente con rol de supervisión del usuario que
realiza la violación. Esta Área también es responsable de realizar confiscación de equipo
conectado a recursos tecnológicos sin la debida autorización explícita necesaria.
La Oficina de Recursos Humanos es responsable de la difusión de esta y otras políticas y normas
a los usuarios y el personal de la E.S.E. También es responsable de asistir al Gerente o
Subgerente a determinar acciones disciplinarias o legales en caso de violaciones por usuarios a
esta y otras políticas y normas.
Los Coordinadores de las distintas áreas funcionales de la Institución son responsables por
determinar los niveles de acceso a recursos tecnológicos que cada usuario de su área funcional
requiere, y de notificárselo al área de sistemas. También son responsables de determinar y tomar
las acciones disciplinarias o legales correspondientes a una violación de esta y otras políticas y
normas por parte de usuarios bajo su supervisión.
Todo usuario y personal de la E.S.E, es responsable por velar el cumplimiento de esta y otras
políticas y normas. Cualquier usuario con conocimiento de una violación a esta y otras políticas
y normas que no notifique dicha violación también estará sujeto a acciones disciplinarias o
legales.
22
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 23 de 28
Formulario de Aceptación – Política de Uso Aceptable de Recursos Tecnológicos.
ACEPTACIÓN DE POLÍTICA DE USO ACEPTABLE DE

RECURSOS TECNOLÓGICOS.
Yo_____________________________________________ certifico que he leído y entendido la

política del Uso Aceptable de Recursos Tecnológicos. Me comprometo a utilizar estos y otros
recursos provistos por la Ese hospital Jorge cristo Sahium de manera aceptable y efectiva, en
cumplimiento con esta política, y entiendo que la violación de esta y cualquier otra política o
norma vigente puede conllevar acciones disciplinarias o legales. Además, entiendo que no hay
ninguna expectativa de intimidad en relación con la utilización de los recursos tecnológicos, o en
relación con la información contenida, accedida u obtenida a través de estos recursos o en la
realización de sus funciones. Y entiendo que el personal del Área de sistemas del Hospital puede
monitorear y fiscalizar en cualquier momento la utilización de los recursos tecnológicos.
Aceptado por:
__________________________ ___________________ _________________

(Nombres y Apellidos) (Firma) (Fecha)
Recibido en Talento Humano Por:
23
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 24 de 28
__________________________ ___________________ _________________

(Nombres y Apellidos) (Firma) (Fecha)
6. GLOSARIO.
Acceso a la Información Pública
Derecho fundamental consistente en la facultad que tienen todas las personas de conocer sobre la
existencia y acceder a la información pública en posesión o bajo control de sujetos obligados.
(Ley 1712 de 2014, art 4)
Activo
En relación con la seguridad de la información, se refiere a cualquier información o elemento
relacionado con el tratamiento de la misma (sistemas, soportes, edificios, personas…) que tenga
valor para la organización. (ISO/IEC 27000).
Activo de Información
En relación con la privacidad de la información, se refiere al activo que contiene información
pública que el sujeto obligado genere, obtenga, adquiera, transforme o controle en su calidad de
tal.
Archivo
Conjunto de documentos, sea cual fuere su fecha, forma y soporte material, acumulados en un
proceso natural por una persona o entidad pública o privada, en el transcurso de su gestión,
conservados respetando aquel orden para servir como testimonio e información a la persona o
institución que los produce y a los ciudadanos, o como fuentes de la historia. También se puede
entender como la institución que está al servicio de la gestión administrativa, la información, la
investigación y la cultura. (Ley 594 de 2000, art 3)
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daños a un sistema o a la
organización. (ISO/IEC 27000).
24
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 25 de 28
Análisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
(ISO/IEC 27000).
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias de auditoría y
obviamente para determinar el grado en el que se cumplen los criterios de auditoría. (ISO/IEC
27000).
Autorización
Consentimiento previo, expreso e informado del Titular para llevar a cabo el
Tratamiento de datos personales (Ley 1581 de 2012, art 3)
Bases de Datos Personales
Conjunto organizado de datos personales que sea objeto de Tratamiento (Ley 1581 de 2012, art
3)
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que están expuestos los ciudadanos,
ante amenazas o incidentes de naturaleza cibernética. (CONPES 3701).
Ciberespacio
Es el ambiente tanto físico como virtual compuesto por computadores, sistemas
computacionales, programas computacionales (software), redes de
telecomunicaciones, datos e información que es utilizado para la interacción entre usuarios.
(Resolución CRC 2258 de 2009).
Control
Las políticas, los procedimientos, las prácticas y las estructuras organizativas concebidas para
mantener los riesgos de seguridad de la información por debajo del nivel de riesgo asumido.
Control es también utilizado como sinónimo de salvaguarda o contramedida. En una definición
más simple, es una medida que modifica el riesgo.
25
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 26 de 28
Datos Abiertos
Son todos aquellos datos primarios o sin procesar, que se encuentran en formatos estándar e
interoperables que facilitan su acceso y reutilización, los cuales están bajo la custodia de las
entidades públicas o privadas que cumplen con funciones públicas y que son puestos a
disposición de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que terceros
puedan reutilizarlos y crear servicios derivados de los mismos (Ley 1712 de 2014, art 6).
Datos Personales
Cualquier información vinculada o que pueda asociarse a una o varias personas naturales
determinadas o determinables. (Ley 1581 de 2012, art 3).
Datos Personales Públicos
Es el dato que no sea semiprivado, privado o sensible. Son considerados datos públicos, entre
otros, los datos relativos al estado civil de las personas, a su profesión u oficio y a su calidad de
comerciante o de servidor público. Por su naturaleza, los datos públicos pueden estar contenidos,
entre otros, en registros públicos, documentos públicos, gacetas y boletines oficiales y sentencias
judiciales debidamente ejecutoriadas que no estén sometidas a reserva. (Decreto 1377 de 2013,
art 3)
Datos Personales Privados
Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
(Ley 1581 de 2012, art 3 literal h)
Datos Personales Mixtos
Para efectos de esta guía es la información que contiene datos personales públicos junto con
datos privados o sensibles.
Datos Personales Sensibles
Se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido
puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la
orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos,
organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido
político o que garanticen los derechos y garantías de partidos políticos de oposición, así como los
datos relativos a la salud, a la vida sexual, y los datos biométricos. (Decreto 1377 de 2013, art 3)
26
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 27 de 28
Declaración de aplicabilidad
Documento que enumera los controles aplicados por el Sistema de Gestión de Seguridad de la
Información – SGSI, de la organización tras el resultado de los procesos de evaluación y
tratamiento de riesgos y su justificación, así como la justificación de las exclusiones de controles
del anexo A de ISO 27001. (ISO/IEC 27000).
Derecho a la Intimidad
Derecho fundamental cuyo núcleo esencial lo constituye la existencia y goce de una órbita
reservada en cada persona, exenta de la intervención del poder del Estado o de las intromisiones
arbitrarias de la sociedad, que le permite a dicho individuo el pleno desarrollo de su vida
personal, espiritual y cultural (Jurisprudencia Corte Constitucional).
Encargado del Tratamiento de Datos
Persona natural o jurídica, pública o privada, que por sí misma o en asocio con otros, realice el
Tratamiento de datos personales por cuenta del responsable del
Tratamiento. (Ley 1581 de 2012, art 3)
Gestión de incidentes de seguridad de la información
Procesos para detectar, reportar, evaluar, responder, tratar y aprender de los incidentes de
seguridad de la información. (ISO/IEC 27000).
Información Pública Clasificada
Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de
tal, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o
jurídica por lo que su acceso podrá ser negado o exceptuado, siempre que se trate de las
circunstancias legítimas y necesarias y los derechos particulares o privados consagrados en el
artículo 18 de la Ley 1712 de 2014. (Ley
1712 de 2014, art 6)
Información Pública Reservada
Es aquella información que estando en poder o custodia de un sujeto obligado en su calidad de
tal, es exceptuada de acceso a la ciudadanía por daño a intereses públicos y bajo cumplimiento de
la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Ley 1712 de
2014, art 6)
27
NIT: 807004631-3
FECHA VERSIÓN
03/01/2022 5
Página 28 de 28
28
NIT: 807004631-3

Plan Tratamientoriesgos 2023

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Plan Tratamientoriesgos 2023

Cargado por

Copyright:

Formatos disponibles

MANUAL DE PROCESOS GERENCIALES PG-01-F-02-5

Plan de Tratamiento de riesgo de Seguridad

Los sistemas de computación, las aplicaciones de mensajería y correo electrónico, la utilización

Sin embargo, la provisión y disponibilidad de estos recursos requieren que se establezcan

El plan de tratamiento de riesgos de seguridad, en la línea de acción Gestión de la Información,

Por medio del cual se expide el Decreto Único

2.1 OBJETIVO GENERAL.

Desarrollar un Plan de Tratamiento de Riesgos de Seguridad y Privacidad de la Información, el

2.2 OBJETIVOS ESPECIFICOS.

 Mantener actualizada la situación actual de la ESE en materia de riesgos de seguridad y

4. GENERALIDADES DE LA ESE HOSPITAL.

Para el año de 1997 se conformó un grupo interdisciplinario liderado por el coordinador de la

De acuerdo al crecimiento poblacional y la demanda de los servicios se crea la necesidad de

4.2 Naturaleza y objeto.

La Unidad Básica de Villa del Rosario se transforma en ESE, el 16 de septiembre de 1998

Artículo 5. Son objetivos de la empresa, los siguientes:

a. Contribuir al desarrollo social del país mejorando la calidad de vida y reduciendo la

5.3.1 Objetivo General.

Prestar servicios de salud de baja complejidad a la población Rosariense y de su área de

5.3.2 Objetivos Específicos.

 Desarrollar programas educativos de promoción y prevención en salud publica en el

5.4 Principios Corporativos.

Es el conjunto de elementos estructurales, procesos, instrumentos y metodologías basadas en

5.4.6 Política de Calidad.

La organización propenderá por garantizar al cliente externo servicios accesibles y equitativos

Utilizando herramientas de gestión de la organización fundamentados en procesos asistenciales,

5.4.7 Política Ambiental.

permanente búsqueda del cumplimiento de las normas ambientales y sanitarías vigentes,

En general, los recursos tecnológicos utilizados en la Institución, y la información manejada a

8. PROCESOS DE ACEPTACIÓN DE LAS POLÍTICAS Y NORMAS.

La Institución está autorizada a realizar cambios, modificaciones y correcciones a esta política en

Uso Aceptable de Recursos Tecnológicos:

Se considera Uso Aceptable de Recursos Tecnológicos el uso de los recursos tecnológicos de la

Las siguientes pautas delinean el Uso Aceptable de Recursos Tecnológicos:

2. La utilización de computadores, estaciones de trabajo, computadores portátiles, y

Se considera uso no aceptable de recursos tecnológicos:

10. La utilización de equipos de computación personales o ajenos a la Institución en las Redes

Uso Aceptable – Acceso a Internet:

2. Acceso, descarga o distribución de material a través de Internet en violación a los derechos de

Uso Aceptable – Sistema de Correo Electrónico:

1. Según mencionado anteriormente, los usuarios no tienen ninguna expectativa de

F. Afectar la operación o funcionamiento de los recursos tecnológicos de la Institución.

Uso Aceptable – Otros Equipos Periféricos y Dispositivos Electrónicos:

Además de los recursos tecnológicos mencionados anteriormente, la Institución puede requerir la

Uso Aceptable de la Información:

Se considera Uso Aceptable de la Información como el uso y manejo de la información por

El área de sistemas de la ESE Hospital Jorge Cristo Sahium, responsable de monitorear,

Formulario de Aceptación – Política de Uso Aceptable de Recursos Tecnológicos.

ACEPTACIÓN DE POLÍTICA DE USO ACEPTABLE DE

Yo_____________________________________________ certifico que he leído y entendido la

__________________________ ___________________ _________________

Recibido en Talento Humano Por:

__________________________ ___________________ _________________

También podría gustarte

________________ _ _________

________________ _ _________