PADRÃO DE GESTÃO TÍTULO: GESTÃO DA INFORMAÇÃO TÉCNICA E SISTEMA DE INFORMAÇÃO LABORATORIAL

Transcrição

1 Versão: Pag.: 1 de 6 1. OBJETIVO Este Padrão de Gestão normatiza a gestão da informação técnica e do Sistema de Informação do Laboratório que estejam contemplados no SGQ, conforme as definições expressas pela Norma de Acreditação PALC, na sua versão vigente, e NBR ISO 9001: ABRANGÊNCIA Aplica-se aos colaboradores do IHEF Medicina Laboratorial contemplados no SGQ. 3. DEFINIÇÕES E CONCEITOS 3.1 Firewall: É um dispositivo de uma rede de computadores que tem por objetivo aplicar uma política de segurança a um determinado ponto da rede. 3.2 Interface: Conjunto de meios planejadamente dispostos, sejam eles físicos ou lógicos, com vista a fazer a adaptação entre dois sistemas para se obter um certo fim cujo resultado possui partes comuns aos dois sistemas, ou seja, o objeto final possui características dos dois sistemas. 3.3 Middleware: No campo da computação distribuída, é um programa de computador que faz a mediação entre um software e demais aplicações. É utilizado para mover ou transportar informações e dados entre programas de diferentes protocolos de comunicação, plataformas e dependências do sistema operacional. 3.4 VPN (Virtual Private Network): É uma rede de comunicações privada normalmente utilizada por uma empresa ou um conjunto de empresas construída em cima de uma rede de comunicações pública. 4. RESPONSABILIDADES Atividades Condições Operacionais Acesso aos Sistemas de Informática Backup e Restauração de Dados Mudança de Versão de Softwares Manutenção do Sistema Segurança das Informações Interfaceamento dos Dados Máscara de Laudos Responsabilidade e Gerencia de Operações e Emissão de Laudos e Setor de Liberação de Laudos 5. DIRETRIZES 5.1 Diretrizes Gerais O IHEF Medicina Laboratorial possui um servidor de dados situado no prédio matriz. Todos os arquivos e dados eletrônicos estão armazenados neste servidor.

2 Versão: Pag.: 2 de As unidades de coleta possuem acesso ao servidor através de link via Internet. A segurança de tráfego das informações está descrita no item 5.7 desta norma O IHEF Medicina Laboratorial tem como Política de Informação Técnica e Sistema de Informação de Laboratórios oferecer recursos tecnológicos atualizados e que garantam a execução dos serviços. 5.2 Condições Operacionais Os servidores devem estar armazenados em local refrigerado com temperatura controlada de 15 a 24 C. A temperatura é registrada no Sistema SIIG e o mesmo dispara um SMS quando a temperatura chega em 22 C para os gestores da TI alertando sobre a temperatura que está se aproximando do limite. No momento em que a equipe recebe o alerta, um técnico é deslocado até o local para avaliação e tomada de ações. As ações são registradas no DOC 073 Registro de ações de controle de temperatura O acesso ao local é restrito aos colaboradores da TI. A porta deve permanecer fechada. Para casos de sinistro, a equipe de TI é acionada Os equipamentos devem estar ligados a um NoBreak que tenha a capacidade de segurar todos os servidores por 01 hora. A cada seis meses, os nobreaks dos servidores são verificados retirando-os da rede de energia e cronometrando o tempo para exaustão da bateria. Se em 1 hora o nobreak não desligar, ele será considerado aprovado e deve ser recolocado na rede de energia. Essa verificação é registrada no DOC 074 Controle de Inspeção de Nobreaks O sistema de nobreak é monitorado eletronicamente através de um programa interno que informa a qualidade da bateria e da capacidade do nobreak Na entrada da sala da TI tem um extintor Tipo C com CO2 para situação de emergência na sala dos servidores. Não deve ser utilizado extintores tipo A ou B. 5.3 Acesso aos Sistemas de Informática Quando um novo usuário precisa ter acesso aos sistemas da empresa e à rede interna, um treinamento de acesso à TI deve ser realizado contendo: Política de Sigilo e Confidencialidade da empresa Instruções sobre o uso adequado dos recursos de informática (uso da internet, arquivos autorizados para estar na rede, entre outros) Instruções sobre o SMART (apresentação das telas e seus respectivos preenchimentos) Instruções sobre o TI Atende Ao final do treinamento, o usuário deve assinar Termo de Compromisso que está no Código de Ética e Conduta do Grupo Meddi e esse documento deve permanecer arquivado na pasta do colaborador O treinamento deve atender aos critérios existentes no PG 017 Gestão de Pessoas.

3 Versão: Pag.: 3 de O acesso aos sistemas de informática é realizado por senha individual. O uso da senha é pessoal e intransferível, devendo o usuário ter total responsabilidade pelo controle e sigilo da mesma Os níveis de acesso dos usuários são: Nível TI usuários exclusivos da equipe de TI para acesso e resolução de problemas Nível Supervisor Usuários com cargos de liderança devem ter acesso total aos módulos referentes aos seus setores Nível Operador Usuários com cargos operacionais devem ter acesso apenas às telas relativas às suas atividades de trabalho. 5.4 Controle de Acesso Todo o colaborador que for desligado da empresa deve ter seu acesso imediatamente suspenso. O supervisor ou gerente responsável deve abrir um chamado com caráter de URGÊNCIA para a TI informando que o acesso do colaborador deve ser suspenso Nos casos de promoção ou mudança de cargo que impacte no perfil de acesso aos sistemas da empresa, um chamado deve ser aberto pelo supervisor ou gerente informando a necessidade de mudança de perfil. 5.5 Back up e Restauração de Dados Todos os dados do sistema de informática devem ser copiados em um Backup a cada 4 horas de operação. O Backup é feito automaticamente para um servidor posicionado fora do prédio principal Mensalmente, o backup é verificado realizando a restauração do sistema em uma base de dados e as suas funcionalidades são testadas a fim de assegurar a integridade do backup. Essa verificação deve ser registrada em relatório emitido pelo prestador de serviço. Esse registro deve ser arquivado conforme o PG 003 Gestão de Registros Técnicos e da Qualidade. 5.6 Mudança de Versão de Softwares Todas as versões dos sistemas de informática ficam registrados no DOC 075 Controle de Versão dos Sistemas de Informática Quando o fornecedor realiza uma atualização, antes de se colocar em operação, deve-se realizar testes funcionais em uma base de teste verificando a adequação e os impactos da atualização para o Sistema de Informação Após a verificação, o equipe da TI responsável pela análise deve emitir um relatório dando um parecer técnico sobre a atualização proposta pelo fornecedor e enviar uma cópia para o SCQ.

4 Versão: Pag.: 4 de Caso o parecer seja favorável para a atualização, um treinamento com os colaboradores envolvidos deve ser programado e realizado sobre a base de teste. O treinamento deve atender aos requisitos do PG 017 Gestão de Pessoas Após a realização do treinamento, a equipe da TI deve informar a data para a atualização devendo ser sempre em um horário em que não haja atendimento a cliente, afim de não causar distúrbios durante a prestação do serviço Após a atualização, a equipe da TI deve permanecer em prontidão por 4 horas para possíveis imprevistos no sistema Em caso de ser um novo sistema, os itens ao devem ser realizados e o novo sistema deve ser incluído no DOC 075 Controle de Versão de Sistemas de Informática. 5.7 Manutenção do Sistema Sempre que a equipe de TI julgar necessário, todo o sistema de informática é desligado para realização da Parada Geral de Manutenção dos Servidores A parada dever ser feita para otimização do sistema removendo arquivos e programas fora de uso e realizando a limpeza física dos equipamentos Esse procedimento deve ser feito mediante aviso a todas as áreas afetadas de que o sistema estará sendo atualizado com antecedência mínima de 24 horas para que as contingências possam ser planejadas e preparadas A data da parada deve ocorrer, preferencialmente, em um momento que não haja fluxo de pacientes As paradas realizadas devem ser registradas no DOC 076 Controle da Parada Geral para Manutenção informando o tempo de inicio e fim da mesma. Em casos de panes ou situações imprevistas, uma RNC deve ser aberta conforme o PG 004 Gestão das Não Conformidades. 5.8 Segurança das Informações Os usuários das unidades externas ao local em que se encontra o servidor, utilizam o sistema de informática através da internet. Em cada posto, um certificado de segurança criptografa as informações trafegadas a fim de evitar perda de sigilo Todos os equipamentos devem estar protegidos por Sistema Antivírus e Firewall. Os pontos de acesso a pendrives devem estar bloqueados. A atualização do antivírus é feita automaticamente O acesso à internet é restrito a sites autorizados pela equipe de TI e que possuem correlação com as atividades da empresa Em caso de pane no sistema de informações, o plano de contingência descrito no Anexo 01 desta norma é acionado.

5 Versão: Pag.: 5 de Interfaceamento de Dados Todos os dados interfaceados diretamente para o SMART são inspecionados mensalmente para verificação da integridade dos dados Para realizar a verificação, devem ser identificados aleatoriamente laudos de 5 exames diferentes dentre os que são realizados nos laboratórios de apoio. Os respectivos laudos devem ser abertos e as informações devem ser verificadas e transcritas para o DOC 077 Verificação de Interfaceamento de laudos. Apenas o número da OS e os valores devem ser transcritos Os valores no SMART devem ser transcritos para o DOC 077 Verificação de Interfaceamento de laudos e devem corresponder aos valores emitidos nos laudos originais dos laboratórios. Nenhuma conversão de unidade é permitida Caso haja divergência, a TI deve ser acionada, o laudo deve ser corrigido e todos os laudos devem ser verificados a fim de garantir a fidedignidade das informações Os cálculos devem ser verificados pelo Bioquímico e registrados no DOC 077 Verificação de Interfaceamento de laudos Máscaras de Laudos Todas as máscaras de laudo são registradas no SMART. Cada versão da máscara deve ser registrada e suas alterações documentadas para questões de rastreabilidade. 6. REGISTROS DOC 073 Registro de ações de controle de temperatura DOC 074 Controle de Inspeção de Nobreaks DOC 075 Controle de Versão dos Sistemas de Informática DOC 076 Controle da Parada Geral para Manutenção DOC 077 Verificação de Interfaceamento de laudos 7. DOCUMENTOS DE REFERÊNCIAS 7.1 NBR ISO 9001: Manual PALC Manual da Qualidade 8. ANEXOS Não se aplica 9. CONTROLE DE ALTERAÇÕES VERSÃO DATA ITENS MODIFICADOS DESCRIÇÃO DA ALTERAÇÃO Todos Elaboração inicial

6 Versão: Pag.: 6 de 6 ANEXO 01 Plano de Contingência Em caso de pane no Sistema de Informática, todo colaborador deve: 1. Acionar o plantonista da TI, em caso de expediente fora do horário ADMINISTRATIVO, ou ligar para o Suporte da TI *478 para ligação interna, ou para unidades fora da Unidade Central. 2. O contato do plantonista da TI deve ser informado pelo Supervisor a todos os colaboradores. 3. Após o acionamento do plantonista, os colaboradores iniciam o atendimento manual conforme POP ATN 001 Atendimento a Clientes. 4. O plantonista da TI ou a equipe de TI deve iniciar os procedimentos de restauração do sistema. Ao finalizar, deve ser informado a todos os colaboradores a normalização do sistema. 5. Os atendimentos realizados manualmente devem ser registrados imediatamente no sistema. Um colaborador deve ser designado para essa tarefa e todos os registros devem ser arquivados. Em caso de perda de dados, a equipe de TI deve: 1. Informar a todos os afetados sobre o problema e solicitar que os procedimentos sejam feitos manualmente; 2. Efetuar a Parada Emergencial do Sistema; 3. Efetuar a restauração dos dados; 4. Informar a normalização do sistema para atualização dos dados gerados manualmente.