Cuestionario básico de Ciberseguridad

Transcripción

1 Página 1 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 INSTRUCCIONES: El siguiente cuestinari pretende articular el alcance de la revisión preliminar sbre ls cntrles más directamente relacinads cn la ciberseguridad y cumplimient de la legalidad en ls sistemas de infrmación de la entidad, enmarcad dentr de las actividades de planificación de la auditría que se está llevand a cab. Para cumplimentar el cuestinari n es necesari que se genere dcumentación adicinal a la ya dispnible. La idea es la de dispner de la dcumentación ya existente en la entidad en el mment de inici del trabaj de camp, cn el fin de ptimizar el tiemp invertid pr ambas partes. El trabaj de camp se desarrllará principalmente mediante entrevistas, de las que pdrán surgir necesidades adicinales de infrmación. En el cas de que exista dcumentación descriptiva de ls prcedimients, n es necesaria la cumplimentación del cuestinari respect a ess aspects, basta cn la aprtación del dcument descriptiv. Del mism md, n es imprescindible que ns facilite aquella infrmación que cnsidere puede ser de carácter cnfidencial. En ess cass indíquel en el cuestinari y prepárela para el inici del trabaj. El alcance de la revisión psee un carácter general, n siend necesari btener una infrmación exhaustiva de cada un de ls punts incluids en el cuestinari. Para cualquier duda, n dude en pnerse en cntact cn ls miembrs del equip de fiscalización (Crre electrónic: XXX@xx.xx, tf. xxx). Le rgams ns facilite el cuestinari cumplimentad l antes psible. Una vez cumplimentad se devlverá cm un dcument *.dcx *.pdf firmad electrónicamente (preferentemente) en sprte papel cn firma hlógrafa del respnsable del área de sistemas de infrmación. CUMPLIMENTADO POR: Entidad: Denminación del Departament TI: Nmbre: Carg: Fecha: Firma: Dmicili del Departament TI:

2 Página 2 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 INFORMACIÓN GENERAL SOBRE EL ENTORNO TECNOLÓGICO DE LA ENTIDAD Dcumentación necesaria: Cpia del mapa de red Diagramas de la arquitectura física/lógica de ls sistemas de infrmación de la Entidad En cas de n dispner de dicha dcumentación, incluir una breve explicación del entrn de TI de la Entidad (existencia n de DMZ, de segmentación entre red de usuaris y red de servidres, elements de seguridad (firewall, IPS, etc.), relación de ls principales sistemas ubicads en la red interna, us de slucines de virtualización, etc.). CBCS 1: INVENTARIO DE DISPOSITIVOS AUTORIZADOS Y NO AUTORIZADOS 1-1: Inventari de activs físics autrizads Existe un inventari de hardware? En cas afirmativ: Prprcina infrmación sbre ls siguientes aspects de cada element? Identificación del activ: fabricante, mdel, númer de serie Cnfiguración del activ: perfil, plítica, sftware instalad Sftware instalad: fabricante, prduct, versión y parches aplicads Equipamient de red: MAC, IP asignada ( rang) Ubicación del activ: dónde está? Prpiedad del activ: persna respnsable del mism Está actualizad? Indicar la fecha de última actualización. Dispne de una herramienta autmatizada que permite la actualización cntinua del inventari? En cas afirmativ, indicar el nmbre de la herramienta, fabricante y versión. Si n se dispne de herramienta, indicar cóm se lleva a cab la actualización del inventari. Dispne de un prcedimient de autrización de ls elements hardware antes de su entrada en prducción? Está aprbad? Quién l ha aprbad? 1-2: Cntrl de activs físics n autrizads Dispne de mecanisms para cntrlar (detectar restringir) el acces de dispsitivs físics n autrizads (ej x)? En cas cntrari, cóm garantiza que únicamente se cnectan a la red ls dispsitivs autrizads? Dcumentación necesaria: Cpia del prcedimient de mantenimient y gestión del inventari de hardware Cpia del inventari de hardware Cpia del prcedimient de autrización de hardware Cpia del prcedimient dnde se describan ls cntrles para detectar restringir el acces de dispsitivs físics n autrizads.

3 Página 3 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CBCS 2: INVENTARIO DE SOFTWARE AUTORIZADO Y NO AUTORIZADO 2-1: Inventari de SW autrizad Existe una lista actualizada de sftware autrizad? Existe un inventari de sftware instalad en ls dispsitivs de la entidad? En cas afirmativ, está actualizad? Indicar la fecha de última actualización. Dispne de una herramienta autmatizada para la gestión del inventari de sftware? En cas afirmativ, indicar el nmbre de la herramienta, fabricante y versión. El inventari de hardware y el de sftware están relacinads? (es decir, para un dispsitiv hardware es psible cnsultar el sftware que tiene instalad). Existe un prcedimemient de autrización de sftware? 2-2: SW sprtad pr el fabricante. Dispne de un plan de mantenimient del sftware, de acuerd cn las especificacines de ls fabricantes? El plan de mantenimient anterir, incluye el cntrl de las fechas de fin de sprte del HW y SW pr parte de ls fabricantes? Existe sftware fuera de sprte pr parte del fabricante? En cas afirmativ, indicar prduct, fabricante y versión. 2-3: Cntrl de SW n autrizad Se dispne de guías de instalación y bastinad de ls sistemas previ a su entrada en peración? Las guías de cnfiguración anterires, incluyen el detalle del SW a instalar pr tip de sistema y/ usuari? (ej. SW a instalar en el equip cliente de un usuari n administradr del área de gestión presupuestaria, SW a instalar en el servidr de BBDD de la aplicación X, etc.). Dispne de alguna herramienta para cntrlar e impedir la instalación de sftware n autrizad (ej.applcker)? En cas afirmativ: Indicar nmbre de la herramienta, fabricante y versión. La herramienta detecta autmáticamente el sftware instalad en cada sistema? Actualiza de frma autmática el inventari de sftware? En cas cntrari, existe un prcedimient para la revisión del sftware instalad en ls equips de la entidad? En cas de detectar sftware n autrizad en estas revisines, se elimina? Dcumentación necesaria: Cpia del prcedimient de mantenimient y gestión del inventari de sftware Cpia del inventari de sftware Cpia del prcedimient de autrización de sftware Cpia del prcedimient/guías de cnfiguración que indique ls criteris para la instalación de sftware según el perfil de sistema y/ usuari. Cpia del prcedimient de revisión del sftware instalad en ls sistemas de la entidad.

4 Página 4 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CBCS 3: PROCESO CONTINUO DE IDENTIFICACIÓN Y REMEDIACIÓN DE VULNERABILIDADES 3-1 Identificación de vulnerabilidades Se dispne de una herramienta para la identificación de las vulnerabilidades de seguridad que puedan afectar a ls prducts y tecnlgías de sistemas de infrmación existentes en la entidad? Se efectúa un seguimient cntinu de ls anuncis de defects realizads pr ls fabricantes? Cóm (ej. cntratación de un servici específic a fabricantes, suscripción a listas públicas de publicación de defects, etc.)? Quién es el respnsable de realizarl? Tras la puesta en servici de un sistema, se realizan análisis de vulnerabilidades periódics? 3-2 Prirización de vulnerabilidades Dispne de un prcedimient para analizar y pririzar la reslución de las vulnerabilidades y defects de seguridad identificads, basad en la gestión de riesgs? El prcedimient anterir define plazs máxims de reslución de las vulnerabilidades en función del riesg asciad? 3-3 Reslución de vulnerabilidades Se realiza el seguimient de la crrección de las vulnerabilidades identificadas que, de acuerd a la gestión de riesgs, se ha decidid reslver? 3-4 Parche Se dispne de un prcedimient para el parche de sistemas/tecnlgías (sistemas perativs, bases de dats, aplicacines )? Se dispne de una/s herramienta/s para la gestión e instalación de parches y actualizacines de seguridad? En cas afirmativ, indicar el nmbre de la herramienta, fabricante y versión. En cas de utilizar herramientas diferentes en función de la tecnlgía, detallar de frma separada cada una de ellas. Dcumentación necesaria: Cpia del prcedimient ( prcedimients) de: Identificación de vulnerabilidades. Análisis y prirización de vulnerabilidades. Seguimient de la reslución de vulnerabilidades Parche de sistemas/tecnlgías.

5 Página 5 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CBCS 4: USO CONTROLADO DE PRIVILEGIOS ADMINISTRATIVOS 4-1 Inventari y cntrl de cuentas de administración Existe un prcedimient de gestión de privilegis que cntemple la limitación de ls privilegis de cada usuari al mínim estrictamente necesari para acceder a la infrmación requerida y para cumplir sus bligacines? En particular, el prcedimient anterir garantiza que se restringen ls permiss de administración a ls cass en que sea necesari y que sól se utilicen las cuentas de administradr cuand sea necesari? Se dispne de un inventari de las cuentas de administración que permita su adecuada gestión y cntrl? Ls usuaris que n realizan funcines técnicas sn administradres de sus equips? 4-2 Cambi de cntraseñas pr defect Antes de la puesta en prducción de un sistema, se eliminan/renmbran las cuentas de administración estándar y se les cambia la cntraseña pr defect? 4-3 Us dedicad de cuentas de administración Ls usuaris que dispnen de cuentas cn plivilegis administrativs utilizan una cuenta nminativa sin privilegis de administradr para las tareas habituales y access a Internet crre electrónic? Las cuentas de administración, sn nminativas? (es decir, cada usuari tiene la suya prpia, n permitiend el us cmpartid de cuentas genéricas) En cas cntrari, relacinar las cuentas de administración de us cmpartid. Si existen cuentas de administración de us cmpartid, cóm se cntrla su us? cóm se gestina la cntraseña (distribución, cambi periódic, cambi tras cese de una de las persnas que la cncían, etc.)? 4-4 Mecanisms de autenticación Para cada una de ls sistemas / tecnlgías existentes en la entidad, indicar el mecanism de autenticación de las cuentas de administración. Si se utilizan cntraseñas indicar las principales características de la plítica de autenticación (lngitud mínima, vigencia máxima, vigencia mínima, requerimients de cmplejidad (us de mayúsculas, minúsculas, númers y caracteres especiales), históric de cntraseñas recrdadas). Sistema / Tecnlgía Mecanism de autenticación Características principales Ej: SGBD Oracle 11.2 Cntraseña. Ej:Aplicación XXXXX Certificad + cntraseña. Dmini Windws (servidres y equips de usuari) Certificad + cntraseña Se dispne de un prcedimient para regular la gestión de las cuentas de administración? (ej. cnstrucción del identificadr de usuari, distribución de la cntraseña/credencial, etc.) El prcedimient anterir cntempla el que se retiren/deshabiliten/eliminen las cuentas de administración cuand la persna termina su relación cn la entidad?

6 Página 6 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/ Auditría y cntrl del us de las cuentas cn privilegis de administración Se dispne de un registr de actividad de las accines realizadas cn cuentas y sbre cuentas de administración para tds ls sistemas (sistemas perativs, bases de dats, aplicacines, etc.) de la entidad? Cntempla el registr tant de accines exitsas cm fallidas? Existe algún sistema en el que el registr anterir n esté habilitad? En cas afirmativ, indicar cuál. Existen alertas autmáticas cuand se asignan/desasignan privilegis de administración? Quién las recibe y las aprueba en su cas? Existen alertas autmáticas cuand se supera un umbral de intents de acces fallids mediante una cuenta cn privilegis de administración? Qué mecanisms se utilizan para evitar que ls prpis administradres de ls sistemas mdifiquen ls registrs de auditría de las accines realizadas cn cuentas de administración? Dcumentación necesaria: Cpia del prcedimient de gestión de privilegis (en particular, privilegis de administración) Cpia del prcedimient de inventariad de cuentas de administración Cpia del inventari de cuentas de administración Cpia del prcedimient de instalación/bastinad de sistemas, aquél que cntemple el cntrl de renmbrad/eliminación de cuentas estándar cn privilegis de administración y las crrespndientes cntraseñas Cpia del prcedimient de gestión de cuentas de administración (ej. cnstrucción del identificadr de usuari, distribución de la cntraseña/credencial, etc.) Cpia del prcedimient para el registr de las accines realizadas cn cuentas de administración.

7 Página 7 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CBCS 5: CONFIGURACIONES SEGURAS DE SOFTWARE Y HARDWARE EN DISPOSITIVOS MÓVILES, PORTÁTILES, EQUIPOS DE SOBREMESA Y SERVIDORES 5-1 Cnfiguración segura Dispne de un prcedimient de frtificación bastinad de ls sistemas previ a su entrada en peración? Qué tip de dispsitivs cubre (servidres, equips de sbremesa, prtátiles, móviles y tabletas, etc.)? Se utilizan imágenes plantillas para aplicar la cnfiguración de seguridad de tds ls sistemas, de acuerd cn estándares aprbads pr la rganización? Se realizan pruebas de seguridad antes de pasar a prducción para cmprbar que se cumplen ls criteris en materia de seguridad? Se dispne de alguna herramienta para realizar la tiplgía de pruebas anterir? En cas afirmativ, indicar nmbre de la herramienta, fabricante y versión. Previ a la puesta en servici de un nuev sistema, aplicación, etc. se realizan análisis de vulnerabilidades, pruebas de penetración y/ inspeccines de códig fuente? CBCS 5-2: Gestión de la cnfiguración Tras la puesta en prducción de ls sistemas, se realizan cmprbacines periódicas para verificar que la cnfiguración actual n ha sid mdificada de frma n autrizada respect de la cnfiguración de seguridad riginal? Se dispne de alguna herramienta para realizar la tarea anterir? En cas afirmativ, indicar nmbre de la herramienta, fabricante y versión. Se utilizan herramientas de cnfiguración de ls sistemas que impiden la mdificación de la cnfiguración de seguridad? En cas afirmativ, indicar nmbre de la herramienta, fabricante y versión. Se utiliza un sistema de supervisión de cnfiguración para mnitrizar en tiemp real la cnfiguración de seguridad de tds sistemas de prducción de la entidad? La herramienta anterir permite definir alertas cuand se realizan cambis sbre dicha cnfiguración? En cas afirmativ, indicar nmbre de la herramienta, fabricante y versión. En cas de n dispner de herramientas que impidan mnitricen la realización de cambis n autrizads en la cnfiguración de seguridad de ls sistemas se dispne de trs mecanisms que garanticen l anteir? Dcumentación necesaria: Cpia del prcedimient de pruebas de seguridad previas al pase a prducción (en el que se detalle el alcance (qué sistemas deben pasar estas pruebas), respnsables de definir las pruebas, ejecutarlas, aprbarlas, herramientas para realizarlas, etc.). Ejempl del plan de pruebas de seguridad y resultad de su ejecución para un cambi realizad durante el añ. Cpia del prcedimient que regule la realización de análisis de vulnerabilidades, pruebas de penetración y/ inspección de códig fuente previ al pase a prducción. Ejempl del resultad de un análisis de vulnerabilidades, una prueba de penetración y una inspección de códig fuente realizads durante el ejercici. Cpia del prcedimient de gestión de la cnfiguración (aquél que indique cóm garantizar que las cnfiguracines de seguridad n sn mdificadas de frma n autrizada tras la puesta en prducción de un sistema.

8 Página 8 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CBCS 6: REGISTRO DE LA ACTIVIDAD DE LOS USUARIOS (Mantenimient, mnitrización y análisis de ls LOG de auditría) 6-1: Activación de lgs de auditría (registr de la actividad de ls usuaris) Se registran las actividades de ls usuaris en el sistema? En cas afirmativ indicar en qué sistemas (sistema perativ, bases de dats, aplicacines) se encuentra activada. El registr de auditría indica quién realiza la actividad, cuánd la realiza y sbre qué infrmación, sea cual sea el usuari? Se han habilitad las pcines del registr de auditría para que incluya infrmación detallada, cm direccines de rigen, direccines de destin y trs dats útiles? Incluye tant las actividades realizadas cn éxit cm ls intents fracasads? 6-2: Almacenamient de lgs: Retención y prtección Dónde quedan almacenads ls registrs de actividad? Se dispne de un inventari de ls registrs de actividad dnde además se recja el persnal autrizad a su acces, mdificación eliminación? Qué mecanisms existen para prteger ls registrs de actividad frente a access y mdificacines eliminación? Está determinad el perid de retención de ls registrs de actividad? Se cuenta cn un plan para garantizar la capacidad de almacenamient de registrs atendiend a su vlumen y plítica de retención? Cóm se asegura que la fecha y hra de ls misms n puede ser manipulada? Se realizan cpias de seguridad de ls registrs de actividad? Las cpias de seguridad, si existen, se ajustan a ls misms requisits? Qué mecanisms existen para prteger las cpias de seguridad de ls registrs de actividad frente a access y mdificacines eliminación? 6-3: Centralización y revisión de ls registrs de la actividad de ls usuaris Se centralizan ls lgs generads en ls diferentes sistemas? Cóm? (vlcad diari de ls lgs, reenví de ls lgs al sistema central una vez escrits en el sistema riginal, escritura directa del lg del sistema en el equip centralizadr de lgs, etc.). Se revisan ls registrs de actividad en busca de patrnes anrmales? En cas afirmativ, indicar alcance de las revisines, respnsables de su realización y peridicidad. CBCS 6-4: Mnitrización y crrelación Se dispne de alguna herramienta/utilidad que permita alertar, en tiemp real de sucess anrmales a partir del análisis de ls lgs de auditría? En cas afirmativ, indicar nmbre de la herramienta fabricante y versión. La entidad dispne de un SIEM (Security Infrmatin and Event Management) una herramienta de analítica de lgs para realizar crrelación y análisis de lgs? En cas afirmativ, indicar nmbre de la herramienta fabricante y versión. Dcumentación necesaria: Cpia de la plítica nrmativa que establezca las directrices sbre el registr de actividades de ls usuaris (qué se debe registrar, cn qué detalle, de qué sistemas, perid de retención, mecanisms de prtección de ls registrs, etc.).

9 Página 9 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 Cpia del inventari de ls registrs de actividad, dnde además se recja el persnal autrizad a su acces, mdificación eliminación. Cpia del prcedimient en el que se establezca: El perid de retención de ls registrs de actividad y perid de retención de evidencias tras un incidente. Prces para la eliminación de ls registrs tras el perid estipulad de retención, incluyend las cpias de seguridad (si existen). Cpia de la plítica de cpia de seguridad de ls registrs de actividad (si se sigue una plítica específica para este tip de infrmación, n incluida en la plítica general de cpia de seguridad de dats y sistemas (ver CBCS7)). Cpia del prcedimient para la centralización de lgs, en el que se indique las fuentes rigen a centralizar, cóm se realizará la centralización, peridicidad, etc. Cpia de una revisión de ls registrs de auditría realizada durante el añ y/ de ls resultads btenids.

10 Página 10 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CBCS 7 Cpia de seguridad de dats y sistemas Cpia de seguridad de dats y sistemas Se realizan cpias de respald que permitan recuperar dats perdids cn una antigüedad determinada? En cuant a la plítica de cpia de seguridad: Incluye dats (infrmación de trabaj) de la entidad? Algún sistema, cnjunt de dats, etc. queda fuera del alcance de la plítica de cpia? Abarca ls dats de cnfiguración, servicis, aplicacines, equips, u trs de naturaleza análga? Si se utiliza criptgrafía para el cifrad de la infrmación, la plítica de cpia incluye el respald de las claves criptgráficas? Indicar tip de cpia y peridicidad (ej. Incremental diaria, cmpleta semanal, etc.). Se dispne de herramienta/s para la realización de cpias de seguridad? En cas afirmativ, indicar el nmbre de la herramienta, fabricante y versión. En qué sprte se almacenan las cpias de seguridad realizadas? Se externalizan las cpias de seguridad? Dónde? (ej. a un edifici distint, a una sala distinta dentr del mism edifici, a las instalacines de un prveedr, etc.) Se utilizan servicis en la nube para el almacenamient de backups? En cas afirmativ, indicar qué servici se utiliza y el prveedr que l presta Pruebas de recuperación Se realizan pruebas de recuperación a partir de las cpias de respald realizadas? Indicar alcance de las pruebas de recuperación y peridicidad. Se dcumentan ( queda algún registr) de la realización de dichas pruebas de recuperación y las incidencias identificadas? Prtección de ls backups Ls backups disfrutan de la misma seguridad que ls dats riginales, tant en su acces, almacenamient cm transprte? Indicar brevemente ls mecanisms utilizads para dich prpósit. En cuant a slicitudes puntuales de recuperación de dats pr parte de ls usuaris de la rganización, se dispne de un prcedimient que establezca cóm debe realizarse (quién puede slicitar, cóm, quién debe autrizar, etc.)? Las cpias de seguridad están accesibles de frma directa a nivel de red? Se dispne de una cpia de seguridad en un sprte descnectad de la red? Cóm y cn qué frecuencia se realiza? Dcumentación necesaria: Cpia del prcedimient de cpia de seguridad de dats y sistemas Cpia del prcedimient de restauración a partir de las cpias de seguridad realizadas Cpia de ls infrmes, registrs, etc. de las pruebas de recuperación realizadas en el últim añ Cpia del prcedimient para la slicitud de recuperacines puntuales de infrmación a partir de las cpias de seguridad realizadas

11 Página 11 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 CLCS 8 CUMPLIMIENTO DE LEGALIDAD Esquema Nacinal de Seguridad Dispne de una plítica de seguridad escrita? Ha sid aprbada pr el órgan superir cmpetente (cnfrme al Art. 11 del RD 3/2010)? Se han asignad ls siguientes rles/respnsabilidades? En cas afirmativ indicar nmbre y puest de la persna a quien se le ha asignad. Respnsable/s de la infrmación Respnsable/s del servici Respnsable de la seguridad (STIC) Respnsable del sistema (TIC) Se ha realizad la auditría de cumplimient del ENS para ls sistemas de categría Media y Alta? En cas afirmativ, indicar la empresa encargada de la realización de la auditría. Para ls sistemas de categría Básica, se ha realizad la autevaluación de cumplimient exigida en el ENS bien, de frma pcinal, la auditría de cumplimient? Ls resultads de la auditría y de la autevaluación han sid revisads pr el respnsable de seguridad y las cnclusines presentadas al respnsable del sistema para que adpte las medidas crrectras adecuadas? Facilita ls dats necesaris para el Infrme del Estad de la Seguridad a través de la herramienta INES, cumpliend así la Instrucción Técnica de Seguridad aprbada pr reslución de 7 de ctubre de 2016? LOPD/RGPD Se ha designad Delegad de Prtección de Dats (DPD)? En cas afirmativ indicar nmbre y puest de la persna designada, indicand su psición en el rganigrama general de la entidad. Se ha cmunicad su designación a la Agencia Españla de Prtección de Dats? Se dispne de Registr de actividades de tratamient, de acuerd a l establecid en el artícul 30 del RGPD? Se han realizad ls analisis de riesg de ls tratamients de dats persnales realizads pr la entidad y las evaluacines de impact para aquells de riesg alt? Cóm evalúa y verifica la entidad la eficacia de las medidas técnicas y rganizativas (ej. mediante auditrías realizadas pr empresas externas, autevaluacines de cumplimient, etc.) Ley de Impuls de la factura electrónica y creación del registr cntable de facturas Se dispne del infrme de auditría anual de sistemas exigid pr la Ley 25/2013, de 27 de diciembre de Impuls de la factura electrónica y creación del registr cntable de facturas? Dcumentación necesaria: Cpia de la Plítica de seguridad requerida pr el ENS Cpia de ls registrs (ej. reslucines, actas, etc.) crrespndientes a la designación de ls respnsabes de la infrmación, del servici, de seguridad y del sistema según el ENS Cpia de la infrme de auditría de cumplimient del ENS para ls sistemas de categría Media y Alta Cpia de la autevaluación de cumplimient para ls sistemas de categría Básica según ENS Cpia del dcument que recge ls dats de la última declaración en la herramienta INES Cpia de la designación del Delegad de Prtección de Dats Cpia del registr de actividades de tratamient de dats de carácter persnal

12 Página 12 de 12 Cuestinari básic de Anex 2 Dcument elabrad pr la Cmisión Técnica de ls OCEX y aprbad pr la Cnferencia de Presidentes de ASOCEX el 12/11/2018 Cpia de ls analisis de riesgs y evaluacines de impact de ls tratamients de dats persnales En ls cass en ls que aplique, cpia del infrme de auditría de la autevaluación de la eficacia de las medidas de seguridad aplicadas a ls dats persnales Cpia del infrme de auditría de sistemas exigid en el Art de la Ley 25/2013, de 27 de diciembre de Impuls de la factura electrónica y creación del registr cntable de facturas