Actividad Descripción Responsable Formato
Clasificación de la Información
La información se clasifica en 3 niveles, conforme al anexo C donde aparecen las medidas necesarias para garantizar la seguridad de todo el sistema de certificación, tales como:
Restringida y Confidencial: Información extremadamente sensible y que debe ser
resguardada por el Centro de
Reconocimiento de Conductores, Solo el Gerente, Administrador o quien esté delegue tiene acceso a esta información, igualmente el usuario puede autorizar por escrito a un tercero de la administración de la base de datos. Dentro de este grupo se encuentra toda la información relativa a:
o Historias Clínicas. (con autorización del usuario del servicio)
o Bases de datos del proceso de
certificación - servidor (con
autorización del usuario del servicio)
o Información referente a los socios de la empresa.
o Sistema de gestión.
Confidencial: Información reservada que debe ser usada exclusivamente por
empleados autorizados por el
Administrador o por el Representante Legal. Dentro de este grupo se encuentra toda la información relativa a:
o Partes interesadas: Información
Gerente/ Administrador
Universidad del Valle, Sede Pacifico Facultad Ciencias de la Administración
Modalidad de Practica Empresarial Empresa CRC DEL PACÍFICO S.A.
92
suministrada por las partes
interesadas aplicable al CRC, circulares, resoluciones, comunicados,
actas de agremiaciones,
comunicaciones de las entidades estatales, informes, etc.
o Empresa:
Decisiones que quedan
registradas en Actas de Comité.
Diseño y contenido de los
documentos procesos,
procedimientos, manuales,
formatos, instructivos y demás documentos que hagan parte del sistema de gestión del centro.
Estados financieros.
Facturación.
Información personal de los
empleados, usuarios y
proveedores.
Nomina
General: Información no sensible. Toda la información que no está dentro del grupo de información restringida o confidencial. Medidas de Protección contra la Pérdida de la Información
Inventario de Hardware y Software
El Centro de Reconocimiento de Conductores maneja un inventario de equipos y software que es utilizado en el funcionamiento de sus actividades, (como los equipos son dados por el franquiciante en comodato, los formatos de estas actividades son dados por el proveedor o subcontratista de los equipos).
El proceso de inventario es ejecutado cada vez que se realiza una operación sobre una maquina (actualización, instalación de dispositivos o software, modificación, etc.) o
F01-P02 Control de Copias de Información
Universidad del Valle, Sede Pacifico Facultad Ciencias de la Administración
Modalidad de Practica Empresarial Empresa CRC DEL PACÍFICO S.A.
93
en los procesos comunes de mantenimiento. Está información es almacenada en disco servidor y además es guardada una copia en back up CD por el administrador, (esta copia CD preferiblemente se puede almacenar de forma quincenal registrando el control de la generación de CD back up, en el F01-P02 CONTROL DE COPIAS DE INFORMACION). Para efectos de identificación todos los equipos se encuentran identificados, al igual que cada vez que ingresa uno nuevo, se actualiza el inventario.
Usuarios y Perfiles en el software.
Los usuarios son creados por el administrador del Centro CRC y/o por el administrador del
servidor. Periódicamente se realizan
revisiones de los mismos con el fin de verificar irregularidades con el manejo de los usuarios. Según los perfiles de cargo de cada uno de los usuarios del sistema, éstos tienen acceso a cierta información con el fin de garantizar la seguridad de nuestra operación y la confidencialidad de los datos de nuestros usuarios.
A los usuarios se les hace claridad que el manejo de sus claves es de tipo PERSONAL E INTRANSFERIBLE con el fin de asegurar que cada uno de los registrados sea realmente la persona que está entrando.
Esta completamente prohibido que un usuario entre al sistema con la clave de otro usuario.
Nota 1: cuando el que realiza la evaluación o la toma de la decisión es un profesional
Universidad del Valle, Sede Pacifico Facultad Ciencias de la Administración
Modalidad de Practica Empresarial Empresa CRC DEL PACÍFICO S.A.
94
suplente, este debe de ingresar con su propia clave o contraseña de usuario, para así evitar conflictos a la trazabilidad y confidencialidad del proceso. Esta actividad se detalla en el P-6 en la actividad de ADMINISTRACION DE CONTRASEÑAS.
Archivo Central
El responsable del archivo general del centro es el Administrador, asistido por la recepcionista/asistente administrativa, este archivo debe estar con llave a toda hora, y es de acceso restringido solo por el responsable y la recepcionista.
Mantenimiento
Según el uso de cada uno de los equipos se tienen programados mantenimientos de tipo preventivo con el fin de minimizar el riesgo de daños y prolongar la vida útil de las maquinas.
Estos mantenimientos son realizados en los PC y en los servidores de forma periódica, para el sistema operativo y antivirus se tienen activados las actualizaciones automáticas de software con el fin de reducir el riesgo de ataques por problemas en los mismos. Las bases de datos de la empresa ejecutan procesos automáticos de mantenimiento que mejoran el rendimiento de las aplicaciones.
Administrador/ Recepcionista/ Asis. Administrativa F01-P9 Estadísticas de Producto No Conforme Documentos
Todo el flujo y archivo de los documentos, con sus respectivos responsables referentes a la operación del Centro de reconocimiento de conductores, están descritos en cada uno de los procedimientos y en las responsabilidades
de cada manual de funciones y
responsabilidades.
Sin embargo, todos los funcionarios del Centro de Reconocimiento de Conductores tienen las
Universidad del Valle, Sede Pacifico Facultad Ciencias de la Administración
Modalidad de Practica Empresarial Empresa CRC DEL PACÍFICO S.A.
95
siguientes obligaciones referentes al manejo de los documentos:
o Llevar un estricto control por consecutivo de los registros aplicables al cargo.
o Velar por el mantenimiento legible de los documentos.
o Proteger la confidencialidad de los documentos.
o Reconocer y aceptar la validez de los documentos únicamente por las firmas autorizadas.
o No reproducir copias sin autorización de la gerencia.
En caso de cualquier actividad sospechosa, se inicia un procedimiento investigativo, usando los recursos necesarios para identificar fugas de información.
Los documentos están marcados como copias controladas o documentos obsoletos, para evitar fallas en el control de la documentación.
Los certificados de aptitud física, mental y coordinación motriz preferiblemente deberían llevar un número consecutivo de control, y preferiblemente debería llevar un sello seco o invisible del centro.
Confidencialidad, Imparcialidad
Todos los controles definidos por el centro de reconocimiento de conductores, para asegurar la imparcialidad, independencia, integridad y confidencialidad de las operaciones, están definidos en la MATRIZ DE RIESGOS del DOC04. Personal que labora en el CRC Matriz de Riesgos del DOC04
Universidad del Valle, Sede Pacifico Facultad Ciencias de la Administración
Modalidad de Practica Empresarial Empresa CRC DEL PACÍFICO S.A.
96
Zonas - Instalaciones
En el caso de una emergencia, en el Centro están plenamente identificadas las salidas de emergencia y las zonas de evacuación.
Las áreas más vulnerables como lo son: áreas de servidores de información, archivo de historias clínicas, archivo general del centro, deben estar plenamente identificadas como ACCESO RESTRINGIDO. Administrador F01-P04 Acción correctiva preventiva o de mejora FIN