PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DE



Documentos relacionados
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

DATA SECURITY SERVICIOS INTEGRALES, S.L.

Una Inversión en Protección de Activos

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

Ley Orgánica de Protección de Datos

CONTENIDOS Pag. -1- Razones y oportunidad del proyecto Objetivos y alcance Fases del proyecto Calendario de actuaciones 4

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

GOBIERNO DEL PRINCIPADO DE ASTURIAS

Aviso Legal. Entorno Digital, S.A.

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008

Presentación de la aplicación informática de TyD para el soporte del proyecto de Adecuación a la LOPD. (Versión Ficheros de Titularidad Pública )

ESTATUTO DE AUDITORIA LOPD PARA EL AYUNTAMIENTO DE ZARZADILLA DE PAR

L.O.P.D. Ley Orgánica de Protección de Datos

5.1 REGISTRO DE FICHEROS Análisis de los datos tratados Inscripción de los ficheros... 5

1.- Objetivo y descripción del funcionamiento

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales

INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1

ANEXO REUNIDOS.., C.P.., en., y CIF, con poderes. representación otorgados mediante escritura pública autorizada ante Notario D.

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

ISO-LOPD - Integración LOPD en Sistemas de Gestión

Ley de Protección de Datos

AUDITORÍA Y PROTECCIÓN DE DATOS EN LA EMPRESA

AYUNTAMIENTO DE ÚBEDA Departamento de Informática.

PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES CORRESPONDIENTE AL CONTRATO 2011/2011/01061

En este sentido y en cumplimiento de las disposiciones de la Ley 25/2

Modelo de Política de Privacidad

Auditoría y protección de datos en la empresa


Ley de Protección de Datos para Empleados Públicos

AUDITORIA Y PROTECCIÓN DE DATOS EN LA EMPRESA (obra completa-3 volúmenes)

C/ ACEBO 33 POZUELO DE ALARCON MADRID TELEFONO (91) Curso

Todos los derechos están reservados.

FUNDACION ACCION CONTRA EL HAMBRE

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

empresa, con el fin de recabar la informaciónnecesaria para poder identificar los ficheros existentes.

PROCEDIMIENTO DE AUDITORÍAS INTERNAS DEL SISTEMA DE GESTIÓN DE CALIDAD

2.- DESCRIPCIÓN DE LOS TRABAJOS A REALIZAR

DUDAS FRECUENTES LOPD

En el artículo del mes pasado,

AUDITORÍA Y PROTECCIÓN DE DATOS EN LA EMPRESA

Procedimiento para el Manejo de No Conformidades, Acciones Preventivas y Correctivas del Sistema de Gestión Integral

Guía de Medidas de Seguridad

CONSULTORÍA / AUDITORÍA PROTECCIÓN DE DATOS (LOPD)

Registro General de Protección de Datos

PROCEDIMIENTO PARA LA IDENTIFICACIÓN Y ACCESO A REQUISITOS LEGALES Y OTROS REQUISITOS APLICABLES

Master en Gestion de la Calidad

RP-CSG Fecha de aprobación

Real Decreto, 1720/2007, de 21 de diciembre

UNIVERSIDAD DE BURGOS

Conocer y aplicar los procesos prácticos para la implantación y adecuación de la normativa vigente en la LOPD en las empresas.

DOSSIER DE SERVICIOS [hello customer!] [Diseño web Programación a medida Posicionamiento SEO Bases de datos 3D LOPD Marketing Móvil]

Operación 8 Claves para la ISO

La Ley Orgánica de Protección de Datos Personales (LOPD) En 20 minutos

ANEXO 1: SOLUCIÓN SEGURPLUS

Gestión de la Configuración

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

DOCUMENTO DE SEGURIDAD

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal

CONSULTORIA DE LA LEY ORGANICA DE PROTECCION DE DATOS DE CARACTER PERSONAL DE LA INFORMACION LOPD

CÓMO AFECTA LA LOPD A LOS GESTORES ADMINISTRATIVOS NOVEDADES INTRODUCIDAS CON EL RLOPD INFRACCIONES Y SANCIONES

Procedimiento General Auditorías Internas (PG 02)

datanorte consulting&couch /LOPD/LSSI PROPUESTA MANTENIMIENTO SOCIOS

Marco normativo para el establecimiento de las medidas de seguridad

AUDITORIA Y PROTECCION DE DATOS EN LA EMPRESA - OBRA COMPLETA - 3 VOLUMENES

REQUISITOS LEY ORGANICA DE PROTECCIÓN DE DATOS. 1. Para mandar un correo electrónico.

Medidas de seguridad ficheros automatizados

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

2.2 Política y objetivos de prevención de riesgos laborales de una organización

AUDITORÍAS INTERNAS DE CALIDAD

Mantenimiento de Sistemas de Información

Procedimiento para la para la coordinación de actividades empresariales en instalaciones de la universidad

CONTRATO DE ACCESO A DATOS PERSONALES ENTRE RESPONSABLE DEL FICHERO

Gestión y Desarrollo de Requisitos en Proyectos Software

GUÍA METODOLÓGICA PARA LA FORMACIÓN CON E-LEARNING DIRIGIDA A COLECTIVOS SIN ALTA CUALIFICACIÓN CAPÍTULO 4. Dirección Técnica:

Política de Privacidad de la Empresa

PROTECCION DE DATOS Y ADMINISTRACIÓN PÚBLICA

Cómo afecta la Ley Orgánica de Protección de Datos de carácter personal a un Administrador de fincas y a las Comunidades de Propietarios que gestiona

Módulo 7: Los activos de Seguridad de la Información

QUÉ ES LA LOPD? QUÉ ES LA LSSI? Legislación aplicable:

Dossier i-card Access y LOPD

CONSEJERÍA DE SALUD MANIPULADORES DE ALIMENTOS SITUACIÓN ACTUAL

Aspectos prácticos de implementación del Esquema Nacional de Seguridad

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

PROCEDIMIENTO GENERAL RAZÓN SOCIAL DE LA EMPRESA. Auditorias Internas de Calidad. Código PG-09 Edición 0. Índice:

PE06. RESPONSABILIDAD SOCIAL

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

a) La autoridad y responsabilidad relativas a la SST en la organización se desprende de :

PROCEDIMIENTO AUDITORÍA INTERNA

PRIMERA.- SERVICIO DE ALMACENAJE Y GESTIONES ASOCIADAS DE CINTAS MAGNÉTICAS Y ÓPTICAS (LOTE 1)

Transcripción:

VICECONSEJERÍA DE PRESUPUESTOS Y ADMINISTRACIÓN PÚBLICA PLIEGO DE PRESCRIPCIONES TÉCNICAS PARTICULARES PARA LA CONTRATACIÓN DE LA ADECUACIÓN A LA LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL DE LOS FICHEROS DE DATOS DE LA ADMINISTRACIÓN DEL PRINCIPADO DE ASTURIAS

ÍNDICE 1 OBJETO Y CONTENIDO DE LOS TRABAJOS... 3 2 NORMATIVA APLICABLE... 4 3 TAREAS A REALIZAR... 4 3.1 ANÁLISIS... 4 3.2 ELABORACIÓN DE DOCUMENTOS DE SEGURIDAD... 6 3.3 IMPLANTACIÓN... 7 3.4 FORMACIÓN Y CONCIENCIACIÓN... 8 3.5 CONTROLES Y AUDITORÍA DE SEGURIDAD LOPD... 9 4 RESULTADOS DE LOS TRABAJOS...11 5 HERRAMIENTAS DE TRABAJO... 11 6 ACUERDOS DE NIVEL DE SERVICIO... 12 2

1 OBJETO Y CONTENIDO DE LOS TRABAJOS El objeto del presente contrato consiste en la realización de los trabajos necesarios paa la adecuación a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y al Real Decreto 1720/2007, de 21 de diciembre, por que se aprueba su Reglamento, del tratamiento de datos contenidos en los ficheros de datos contenidos en los ficheros de datos de carácter personal, en el ámbito de la Consejerías de la Administración del Principado de Asturias, aportando además la auditoria bianual obligatoria así como procedimientos de auditorías temporales que deberán estar claramente soportadas por una aplicación informática para la adecuación a ala Ley Orgánica de Protección de Datos El proyecto abordará los ficheros o tratamientos soportados por los Sistemas de Información corporativos utilizados por las diferentes Consejerías y Centros Directivos, que sean mantenidos por la, así como de los ficheros no automatizados que sean responsabilidad de la. Como consecuencia de dicho proyecto se realizarán las siguientes tareas: Desarrollo de herramienta informática de soporte a la LOPD proporcionada por el adjudicatario. Esta herramienta será la necesaria para la correcta adecuación y aplicación a la Ley Orgánica de Protección de Datos por lo que no sólo se dedicará al inventario de ficheros, sino a todos los procedimientos relacionados con la Ley Orgánica de Protección de Datos, así como el control de las auditorías periódicas. Además, dicha herramienta no se basará en documentos de Excel, Word, etc. sino en una aplicación informática que no incurrirá en modalidad de licencias ninguna ni temporalidad. Determinación de los niveles y medidas de seguridad aplicables a los datos afectados Confección del Documento o Documentos de Seguridad necesarios Redacción del o de los Informes de Auditoria Declaración de ficheros afectados en el registro de la Agencia de Protección de Datos Elaboración de los procedimientos para la implantación y adecuación a la normativa Implantación de las medidas de seguridad Procedimientos de difusión y concienciación a todo el personal del ámbito del proyecto, mediante cursos de formación, elaboración, generación y entrega de la documentación necesaria y suficiente para la formación. Elaboración de los procedimientos para la implantación de auditorías de control Todo ello de acuerdo con lo establecido en este Pliego y en el de Prescripciones Técnicas que rigen la contratación. 3

2 NORMATIVA APLICABLE A lo estipulado por la legislación vigente en materia de protección de datos relativo a ficheros automatizados que contengan datos de carácter personal a la fecha de ejecución del proyecto: Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Todas las disposiciones de dicha adecuación estarán sujetas al régimen de la LEY ORGÁNICA 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal y a toda aquella normativa que sea de aplicación. 3 TAREAS A REALIZAR La gestión del proyecto es propia de la metodología de gestión de proyectos del Principado de Asturias y se ejecuatará a lo largo de la duración de todo el contrato. La duración de las fases del contrato será la siguiente: 3.1.- Análisis: 14 semanas 3.2.- Elaboración de documentos de seguridad: 11 semanas 3.3.- Implantación: 11 semanas 3.4.- Formación y concienciación: 7 semanas 3.5.-Controles y auditoría de seguridad LOPD: 18 semanas 3.1 Análisis En la fase de Análisis se procederá a identificar los ficheros automatizados que contienen datos de carácter personal protegidos por la legislación vigente y se analizará el grado de cumplimiento de la misma por parte de la Organización. Desarrollo de una herramienta de soporte para el cumplimiento de la LOPD y el Reglamento 1720/2007. Inventario de los ficheros automatizados existentes que deben estar protegidos según la legislación vigente. Este inventario se registrará en la aplicación informática que deberá suministrar el adjudicatario, y que servirá como herramienta de gestión de LOPD en el Gobierno del Principado de Asturias por parte de la indicada en el punto anterior. 4

Definición de los niveles de seguridad requeridos para cada fichero según el Reglamento. Comprobación de que los ficheros se encuentran registrados en la Agencia Española de Protección de Datos. Inscripción en la Agencia Española de Protección de Datos de aquellos ficheros que no hubieran sido todavía declarados; y actualización de los ya registrados. Llevar a cabo las correspondientes publicaciones en el BOPA. Comprobación de que todos los ficheros están protegidos por las medidas que se establecen en la legislación vigente en función del nivel de seguridad requerido cualquiera que sea su tratamiento y/o finalidad. Cualquier otra medida exigidas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, que no esté aquí reflejada. Al finalizar esta fase se entregará un informe en el que se detallarán todos los puntos analizados y el grado de cumplimiento del Reglamento, así como un plan de acción por Consejería, que será la base de las siguientes fases. La herramienta de soporte a la LOPD indicada en el primer punto de esta fase deberá incluir la menos las siguientes funcionalidades: Gestión de datos de la Organización. Permitir la introducción y actualización de los datos de la organización. Inventario de ficheros lógicos y físicos. Permitir inventariar los ficheros con datos de carácter personal, así como modificarlos y darlos de baja. Mantener información relativa a la/s aplicación/es informática/s asociada/s al fichero. Cuestionarios inteligentes. Mediante una serie de preguntas poder determinar el nivel de seguridad aplicable al fichero lógico. Gestión de Personal: Usuarios y responsables. Gestionar los diferentes elementos personales que contempla el RD. 1720/2007 - Responsable del fichero o tratamiento, encargado del tratamiento, responsable de seguridad - Disponer de un listado de usuarios autorizados para los ficheros declarados. Gestión de Incidencias LOPD Gestionar las incidencias referentes a la LOPD y asociarlas a los ficheros declarados, pudiendo: a) Registrar las incidencias. b) Generar Informes de Incidencias. c) Confeccionar y modificar el procedimiento de gestión y notificación de incidencias. Gestión de Soportes Permitir el control e identificación de los dispositivos de almacenamiento empleados por la organización, sobre la localización de éstos y ficheros alojados. Mantener un registro de entrada y salida de los soportes inventariados para efectuar un seguimiento de los mismos. 5

Gestión de Derechos de los ciudadanos. Registro de Auditorias Llevar un registro de las auditorias, internas o externas, practicadas en la organización Control de las auditorias a ficheros a través de sistemas de alerta a los responsables. Generación automática de los programas de trabajo, papeles de trabajo y cuestionarios correspondientes para la ejecución de una auditoria. Generación del documento de seguridad Generar de forma automática en formato PDF el documento de seguridad del fichero declarado, donde están reflejadas todas las medidas técnicas y organizativas de la organización, según la información introducida en apartados anteriores Generación de la disposición a publicar en el BOPA Generar de forma automática en formato WORD, la disposición a publicar en el BOPA, según la información introducida en la aplicación. Generación de la documentación para la inscripción del fichero con el sistema NOTA de la Agencia Española de Protección de Datos.. Generación automática de la documentación necesaria a enviar a la Agencia Española de Protección de Datos para la inscripción del fichero con datos de Carácter personal, basándose en la información introducida en puntos anteriores. Registro documental. La aplicación dispondrá de la capacidad de almacenar los documentos que surjan por cada fichero declarado, como Documento de seguridad, documentos de auditorias, etc. Panel de control para la dirección. Contenidos y concienciación en LOPD. Foro de usuarios en LOPD y FAQ s. 3.2 ELABORACIÓN DE DOCUMENTOS DE SEGURIDAD En la segunda fase se elaborarán los documentos de seguridad asociados a los ficheros declarados en la Fase I, de obligado cumplimiento para el personal con acceso a los ficheros con datos de carácter personal y a los sistemas de información. Los documentos resultantes contendrán como mínimo los siguientes aspectos: 6

Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento. Procedimiento general de información al personal. Nombramientos e identificación de los distintos Responsables (Responsables de ficheros, Seguridad, etc.). Funciones y obligaciones del personal. Definición de las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información. Estructura y descripción de los ficheros declarados a la Agencia Española de Protección de Datos y descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante incidencias. Procedimientos de revisión del documento de seguridad y Planificación de los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento. Procedimientos de realización de copias de respaldo y de recuperación de datos. Definición de los procedimientos y las medidas necesarias para la gestión de soportes. Otros aspectos exigidos por el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal que no se encuentren descritos en el presente pliego. Una vez elaborados los documentos de seguridad, se llevará a cabo un Plan de Comunicación para difundirlos y concienciar sobre las implicaciones derivadas del tratamiento de datos. Los documentos de seguridad generados serán almacenados en la herramienta informática suministrada por el adjudicatario, a fin de tenerlos centralizados ante cualquier inspección posterior de la Agencia Española de Protección de Datos. 3.3 IMPLANTACIÓN En la tercera fase se procederá, con la colaboración de los distintos responsables a implementar lo definido en los documentos de seguridad de la organización, elaborados en la segunda fase, incluyendo: 7

Implantación de las modificaciones técnicas, y organizativas que fueran necesarias para cumplir el Reglamento, configuración de los sistemas de información para que cumplan los requisitos especificados en el Reglamento, etc. Implantación de la herramienta de gestión de la Ley Orgánica de Protección de Datos de Carácter Personal suministrada por la empresa adjudicataria que deberá contemplar todos los aspectos legales de la misma. Implantación/realización de los procedimientos necesarios para el cumplimiento con los requisitos legales indicados en el/los Documentos de Seguridad. Para dichas tareas se contará con el apoyo del Centro de Gestión de Sistemas de Información del Principado de Asturias. 3.4 FORMACIÓN Y CONCIENCIACIÓN En la cuarta fase se procederá a realizar la formación del personal necesario de la y preparar la documentación necesaria para realizar la concienciación al resto del personal de las consejerías, bien mediante correos electrónicos o cualquier otro medio que garantice su difusión y conocimiento, de forma que los usuarios de los sistemas de información del Gobierno del Principado de Asturias conozcan las normas de seguridad que afecten al desarrollo de sus funciones y las consecuencias que se pueden derivar de su incumplimiento. Las necesidades formativas que se han detectado y que afectarán a la Dirección General de Informática y en especial al Área de Seguridad e Integración de Sistemas son: Cursos, con un máximo de 20 aistentes por curso, con una duración de 40 horas/curso y con el siguiente contenido: Formación necesaria sobre la Ley Orgánica de Protección de Datos. Formación en los procedimientos y normas desarrolladas para la adecuación y cumplimiento de la Ley Orgánica de Protección de Datos. Formación, al equipo de auditoría interna, en los criterios generales que deberá aplicar para realizar las auditorias de control de la Ley Orgánica de Protección de Datos. Formación en las metodologías y herramientas de gestión aportadas para la ejecución del Proyecto. Se deberán establecer calendarios formativos y un plan de asistencia escalonado que permita dotar de estos conocimientos a todo el personal de la Dirección General de Informática que lo necesite, a la vez que no se deje sin atención el trabajo habitual de las unidades afectadas. El adjudicatario será responsable de la elaboración de la documentación suficiente y necesaria para la formación, así como la generación y entrega de la misma en soporte 8

informático (documentos de Word o Powerpoint en su versión 2003) para su uso y difusión posterior al proyecto por parte del Principado de Asturias. La documentación de esta formación deberá de contemplar al menos los siguientes puntos: Términos globales de la Ley Orgánica de Protección de Datos y el Reglamento de Desarrollo de dicha Ley. Principios fundamentales de la Ley Orgánica. Aplicación en la Administración Pública. Ficheros objetos de mención. Procedimientos excepcionales y dignos de mención 3.5 CONTROLES Y AUDITORÍA DE SEGURIDAD LOPD De acuerdo al documento de seguridad se establecerán una serie de controles para verificar el cumplimiento de las distintas medidas de seguridad adoptadas. Dichos controles no eximirán de la realización de las auditorias que establece la legislación en función del nivel de seguridad exigido para ciertos tipos de ficheros. Se estudiará el alcance y periodicidad de dichos controles que podrán abarcar las siguientes áreas: Análisis de la red de comunicaciones Análisis de los sistemas operativos Análisis de los ficheros automatizados Análisis de los mecanismos de acceso remoto Identificación de puntos débiles Recomendaciones para el cierre de las brechas de seguridad En esta fase se realizará una auditoria de seguridad LOPD a todo el ámbito del proyecto, pudiendo comprobar con la misma, el estado de adecuación actual del Gobierno del Principado de Asturias a la LOPD tras la ejecución de las anteriores fases del proyecto y sirviendo como punto de partida para el resto de auditorias bienales legalmente establecidas. Por otra parte, se colaborará en la planificación de las auditorias que se han de llevar a cabo a medio plazo. Esto incluirá la definición de un calendario y los responsables de llevarlo a cabo. Asimismo, se desarrollará una metodología que permita la correcta realización de las auditorias de protección de datos al Gobierno del Principado de Asturias, diseñando para ello una guía para la ejecución de las auditorías que incluya los programas de trabajo, papeles de trabajo y cuestionarios correspondientes. 9

Se automatizará en todo lo posible la gestión de las auditorías bienales para aquellos ficheros que estén obligados a pasarlas por Ley (uso de alarmas, correos electrónicos, etc.), dicha automatización se plasmará en la herramienta informática suministrada por el adjudicatario, mencionada en puntos anteriores. Para la redacción del informe de auditoría se tendrá especial interés en: Dinámica de trabajo Análisis de las áreas de actividad Funciones Estructura interna Aplicaciones informáticas Ficheros de datos de carácter personal Acceso de los usuarios a datos de carácter personal Tratamiento de datos de carácter personal Cesión o comunicación de datos de carácter personal Anomalías y deficiencias detectadas Especial referencia a los ficheros de titularidad pública Ámbito de aplicación Principio de Calidad Principio de calidad en los ficheros de datos Principio de calidad en los ficheros temporales Principio de Información Principio de Consentimiento Derechos de los afectados: acceso, rectificación, cancelación y oposición Datos especialmente protegidos Deber de Secreto Comunicación de datos Encargados del Tratamiento Ficheros en soporte papel Ficheros automatizados: Inscripción en la Agencia Española de Protección de Datos Recogida de datos a través de la página Web Seguridad de los datos Régimen sancionador: delimitación de responsabilidades Como indica el Real Decreto 1720/2007 en su artículo 96, El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. Es decir, el informe de auditoría debe incluir: 10

Deficiencias sobre la adecuación de las medidas y controles del Real Decreto. Medidas correctoras o complementarias necesarias para subsanar las deficiencias descritas. Evidencias objetivas obtenidas por el auditor par ala determinación de las deficiencias. Recomendaciones para mejora de la adecuación de las medidas y controles del Real Decreto. Así mismo, en esta fase se establecerán procedimientos para el escaneo o auditorias periódicas del parque de PCs del Gobierno del Principado de Asturias, tratando de buscar ficheros locales que dispongan de datos de carácter personal; esta tarea se automatizará mediante alguna herramienta informática que revise todos los equipos informáticos y suministre una relación de los mismos con indicación de PC (dir. IP, MAC ) y ficheros con posibles datos personales. 4 RESULTADOS DE LOS TRABAJOS Los productos resultantes de la ejecución del contrato, que deben por tanto ser entregados conforme a lo expresado en el presente pliego son: Documentación Inventario de los ficheros automatizados existentes Niveles de seguridad para los ficheros automatizados Comprobación de ficheros inscritos en la Agencia Española de Protección de Datos Documentación de inscripción de los ficheros no inscritos en la Agencia Española de Protección de Datos Documento de Seguridad Documento de Auditoría Procedimientos de adecuación y aplicación a la LOPD Metodología y documentación para las auditorías parciales Análisis de recomendaciones a mayores Aplicativos Aplicación que permita a la velar por la aplicación de la Legislación de Protección de Datos de Carácter Personal y la gestión de incidencias relativas a dicha Legislación. 5 HERRAMIENTAS DE TRABAJO Se deberán utilizar las herramientas de trabajo usadas como estándares en el Principado de Asturias. La herramienta de seguimiento a emplear será un gestor Enterprise Project Manager que el adjudicatario deberá alimentar vía web. 11

La herramienta empleada por el Principado de Asturias para el tratamiento de incidencias y cambios y en general para la asignación diaria de trabajos es una solución Remedy parametrizada al efecto. 6 ACUERDOS DE NIVEL DE SERVICIO Los acuerdos que siguen deberán ser observados durante la ejecución del proyecto y los trabajos no serán aceptados hasta su realización de forma satisfactoria. Condición / Parámetro Entrega de versiones de los resultados de los trabajos Entrega de planificación global del proyecto, después de la entrega inicial Entrega de planificación de tareas Entrega de otra documentación de gestión del proyecto Superación del tiempo de realización de tareas o entrega de productos Retraso en los hitos de la planificación Actuaciones fuera de los horarios, ventanas previstas y fechas planificadas Cambios del personal asignado al proyecto, por causas no achacables al Principado de Asturias Tiempo de concurrencia de recursos (saliente y entrante) ante un cambio en el equipo de proyecto Nivel exigido 1 versión cada 6 meses Máximo 3 días Máximo 1 día Máximo 1 día Máximo de un 10% según planificación establecida Máximo 1 día Máximo de 1 por período de facturación Máximo del 30% del equipo de proyecto Mínimo de 15 días EL JEFE DEL ÁREA DE SEGURIDAD E INTEGRACIÓN DE SISTEMAS Oviedo, 11 de junio de 2008 Fdo.: Juan Carlos Rodríguez Rodríguez 12

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback