Marco normativo para el establecimiento de las medidas de seguridad

Documentos relacionados
REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL CAPÍTULO I.- DISPOSICIONES GENERALES

En el artículo del mes pasado,

Las medidas de seguridad en el Reglamento RD-1720/2007. El cumplimiento de la seguridad en la LOPD, paso a paso

DOCUMENTO DE SEGURIDAD

REGLAMENTO DE MEDIDAS DE SEGURIDAD DE LOS FICHEROS AUTOMATIZADOS QUE CONTENGAN DATOS DE CARÁCTER PERSONAL

Medidas de seguridad ficheros automatizados

Segundo Taller Práctico LOPD: Obligaciones técnico-organizativas y medidas de seguridad. Documento de Seguridad. Auditorías bienales

ANEXO II. Los datos facilitados no serán incorporados a sistemas o soportes distintos de los del responsable del fichero.

COMO AUDITAR EL CUMPLIMIENTO DE LA LORTAD /LOPD / REGLAMENTO DE SEGURIDAD. Rafael Bernal, CISA. Universidad Politécnica de Valencia

INTRODUCCIÓN CONTENIDO

ANEXO REUNIDOS.., C.P.., en., y CIF, con poderes. representación otorgados mediante escritura pública autorizada ante Notario D.

GUÍA de Seguridad de Datos 1

GUÍA de Seguridad de Datos 1

Todos los derechos están reservados.

CÁMARA DE COMERCIO DE BUCARAMANGA DOCUMENTO DE SEGURIDAD

MODELO DE CLÁUSULA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y MEDIDAS DE SEGURIDAD

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Guía de Medidas de Seguridad

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

AGENCIA ESPAÑOLA DE PROTECCIÓN DE DATOS MODELO DE DOCUMENTO DE SEGURIDAD

GUíAde Seguridad de Datos

DOCUMENTO DE SEGURIDAD EMPRESA DE EJEMPLO SL

Norma de Seguridad: Cláusulas LOPD con acceso a datos, de los que la Diputación Foral de Bizkaia es encargada de tratamiento

MODELO DOCUMENTO DE SEGURIDAD

GUÍA PRÁCTICA. para la utilización de muestras biológicas en Investigación Biomédica

Ley de Protección de Datos

LEY ORGÁNICA DE PROTECCIÓN DE DATOS (LOPD)

C/ ACEBO 33 POZUELO DE ALARCON MADRID TELEFONO (91) Curso

REGLAMENTO DE DESARROLLO LOPD V: Agencia Vasca de Protección de Datos Registro de Ficheros y NNTT

Resumen de los protocolos de seguridad del Registro Telemático

Facilitar el cumplimiento de la LOPD

Dossier i-card Access y LOPD

GUíAde Seguridad de Datos

La LOPD y el archivo del correo electrónico

LAS MEDIDAS DE SEGURIDAD

Seguridad en el manejo de la información asociada a las muestras (Ficheros automatizados) Granada 06/11/2012

Medidas de Nivel Medio

De este modo, AUDEDATOS ofrece un servicio de asesoramiento y consultoría en esta materia, poniendo a su disposición:

ACUERDO DE ACCESO A DATOS DE CARÁCTER PERSONAL POR CUENTA DE TERCEROS ENTRE XXXXX Y XXXXXXX. En Barcelona a X de XXXX de 2008 REUNIDOS

PROCEDIMIENTO DE REGISTRO ENTRADA Y SALIDA DE EQUIPAMIENTO Y SOPORTES ELABORADO POR: REVISADO POR: APROBADO POR:

Una vez leída la notificación rellene y firme el formulario de la página 5, enviándola por FAX al CSU-CEIURIS.

*[Normativa vigente en materia de Protección de

IMPLICACIONES JURÍDICAS Y TÉCNICAS DE LA NORMATIVA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL

CONSULTORIA DE LA LEY ORGANICA DE PROTECCION DE DATOS DE CARACTER PERSONAL DE LA INFORMACION LOPD

Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV

SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Política General de Seguridad aplicable al usuario final del SCS

MINISTERIO DE JUSTICIA

Seguridad y Alta Disponibilidad Legislación y normas sobre seguridad

Master en Gestion de la Calidad

DOCUMENTO INTERNO DE POLÍTICAS DE SEGURIDAD. Fecha: 01 DE MARZO DE 2016

UNIVERSIDAD COLEGIO MAYOR DE CUNDINAMARCA Ficheros y su descripción ANEXO 1.2. FICHEROS Y SU DESCRIPCIÓN

LEY DE PROTECCIÓN DE DATOS: EMPRESA PRIVADA

Diputación de Albacete. Paseo Libertad, Albacete. Tel Fax Guía

L.O.P.D. Ley Orgánica de Protección de Datos

INFORME DE AUDITORIA. T F

Seguridad Informática.

Documento de Seguridad

Una Inversión en Protección de Activos

Javier Rubio Villacé Asesor TIC del Área de Programas Educativos de la Dirección Provincial de Educación de Valladolid

SEMANA 12 SEGURIDAD EN UNA RED

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

DOCUMENTO DE SEGURIDAD LOPD DE HOTEL MARIVELLA SC

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

LA FIGURA DEL DELEGADO DE PROTECCIÓN DE DATOS EN LA PROPUESTA DE REGLAMENTO.

INFORME DISPOSICION TRANSITORIA CUARTA DEL REAL DECRETO 1671/2009, DE 6 DE NOVIEMBRE, POR EL QUE SE DESARROLLA PARCIALMENTE LA LEY 11/2007, DE 22 DE

Ley de Protección de Datos para Empleados Públicos

PROCEDIMIENTO DE GESTIÓN DE INCIDENCIAS DE SEGURIDAD ELABORADO POR: REVISADO POR: APROBADO POR:

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

Aviso Legal. Entorno Digital, S.A.

Real Decreto, 1720/2007, de 21 de diciembre

Ley Orgánica de Protección de Datos

ORGAN/ BOCCYL, n.º 502, de 30 de enero de 2015

Cumplimiento de la Ley de Protección de Datos en la PYME

Modelo de Política de Privacidad

NORMATIVA GLOSARIO DE TERMINOS

MEDIDAS DE SEGURIDAD A LOS SISTEMAS DE DATOS PERSONALES

Antonio Gil de San Antonio

TALLER DE PROTECCIÓN DE DATOS: Aplicación práctica de la LOPD para PYMES. Palencia, 14 de febrero de 2008

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

DOCUMENTO DE SEGURIDAD PARA FICHEROS DE DATOS DE CARÁCTER PERSONAL. Universidad de Jaén

Seminario. Las medidas de seguridad y la Protección de los Datos Personales. La implementación de medidas de seguridad en la óptica empresaria:

TARIFAS Galicia CATALOGO SERVICIOS. Conecta Comunicaciones y Medios S.L. Av. Fragoso, 87 bajo G VIGO Telf Fax

INFORME: PROTECCION DE DATOS OBLIGACIONES Y SANCIONES

LEY NÚMERO 581 PARA LA TUTELA DE LOS DATOS PERSONALES EN EL ESTADO DE VERACRUZ DE IGNACIO DE LA LLAVE

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Informe de cumplimiento de la LOPD en Hospitales

1. Aplica medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO

ISO-LOPD - Integración LOPD en Sistemas de Gestión

La protección del correo electrónico en las Administraciones Públicas

MODELO DE DOCUMENTO DE SEGURIDAD DE LA EMPRESA

Anexo XVI Guía práctica para facilitar el cumplimiento de la LOPD

Universidad de Almería.

ADMINISTRACIÓN DE TECNOLOGÍAS E INFORMACIÓN PROCEDIMIENTO VERSIÓN: 1 SEGURIDAD DE LOS SISTEMAS DE INFORMACION

Documento de Seguridad

LSSICE y LOPD. Networking SatiPyme. Cámara de Comercio e Industria de Zaragoza Centro de Formación 24 de noviembre de 2008

PROCEDIMIENTO PARA CONTROL DE REGISTROS

AUDITORIA Y PROTECCIÓN DE DATOS EN LA EMPRESA (obra completa-3 volúmenes)

Transcripción:

Marco normativo para el establecimiento de las medidas de seguridad Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal Referencia Medidas de Seguridad en el tratamiento de datos personales Creación 20 de febrero de 2008 Autor(es) Web Ángel Juan Cano http://www.firma-e.com Página 1 de 8

ÍNDICE 1. Contenidos mínimos para la definición de medidas, normas, procedimientos de actuación, reglas y estándares... 3 Controles periódicos de verificación de medidas ( / )... 3 Información al personal ( / )... 3 Criterios de archivo ()... 3 Asignación, distribución y almacenamiento de contraseñas ()... 3 Notificación y gestión de incidencias ( / )... 4 Identificación de soportes y documentos ( / )... 4 Transporte de soportes y documentos ( / )... 4 Destrucción de soportes ( / )... 4 Reutilización de soportes ( / )... 4 Realización de copias de respaldo ()... 5 Recuperación de datos ()... 5 #nivel medio# Control y registro de entrada de soportes ()... 5 #nivel medio# Control y registro de salida de soportes ()... 5 #nivel medio# Plan de auditorías ( / )... 6 #nivel alto# Distribución de soportes y documentos ( / )... 6 #nivel alto# Tratamiento de datos en dispositivos portátiles ()... 6 2. Contenidos mínimos de los... 7 Registro de incidencias ( / )... 7 #nivel medio# Registro de entrada de soportes ()... 7 #nivel medio# Registro de salida de soportes ()... 7 #nivel alto# Registro de acceso a documentos no automatizados ()... 7 #nivel alto# Registro de acceso a datos ()... 8 Página 2 de 8

1. Contenidos mínimos para la definición de medidas, normas, procedimientos de actuación, reglas y estándares Controles periódicos de verificación de medidas ( / ) El procedimiento de control y verificación de las medidas reflejadas en el documento de seguridad deberá contener los siguientes datos: Periodicidad de la verificación Responsable de ejecución Definición de los pasos de realización del proceso Evidencias de realización del proceso Información al personal ( / ) El procedimiento de información al personal deberá contener los siguientes datos: Responsable de ejecución Definición del proceso de información al personal Evidencias de la ejecución del proceso Criterios de archivo () Los criterios de archivo de la documentación no automatizada deben contestar las siguientes puntos: Como organizar la documentación según su contenido Como etiquetar la documentación según su contenido Dónde almacenar la documentación Asignación, distribución y almacenamiento de contraseñas () Este procedimiento únicamente se deberá realizar en los sistemas que basen en contraseñas la identificación y autenticación de los usuarios. El procedimiento deberá contener los siguientes datos: Personal autorizado para la solicitud de la contraseña (Persona/s o grupos de usuarios que pueden solicitar la asignación o modificación de una contraseña) Responsable de la asignación de la/s contraseña/s Mecanismos para garantizar la confidencialidad de la contraseña suministrada (Obligación del usuario a cambiar la contraseña en su primer inicio, entrega en sobre cerrado ) Periodo máximo de validez de las contraseñas Mecanismo de almacenamiento de las contraseñas (cifradas) Los sistemas basados en contraseñas deben cumplir con las siguientes medidas, que quedarán reflejadas en la descripción del sistema de información: Requisitos mínimos de las contraseñas (No permitir contraseñas en blanco) Medidas de caducidad de las contraseñas (máximo un año) #nivel medio# Medidas para impedir el intento de acceso no autorizado de manera reiterada (Bloqueo de cuentas tras x intentos fallidos) Página 3 de 8

Notificación y gestión de incidencias ( / ) El procedimiento de notificación y gestión de incidencias deberá contener los siguientes datos: Mecanismo/s de notificación de incidencias por los usuarios (teléfono, mail, aplicación ) Responsable/s de la gestión de las incidencias Definición del proceso de gestión de las incidencias Responsable/s de la resolución de las incidencias Mecanismo/s para el registro de las incidencias #nivel medio# Para las recuperaciones de datos de nivel medio también se deberá definir (): () #nivel medio# Responsable de la autorización para la recuperación de datos () #nivel medio# Responsable de la recuperación de datos Identificación de soportes y documentos ( / ) Los mecanismos para la identificación de soportes deben contener: Método/s de etiquetado de soportes Método/s de clasificación de soportes por nivel de seguridad que permitan su identificación #nivel alto# Método/s de clasificación de soportes por nivel de seguridad que dificulten la identificación por parte de personal no autorizado Transporte de soportes y documentos ( / ) Las normas para el transporte de soportes y documentos, automatizados o no, deben definir las medidas a aplicar para impedir la sustracción, perdida y acceso indebido a la información. #nivel alto# Para la distribución de soportes se deberán definir el método de cifrado o mecanismos de protección de la información que se deberá aplicar para su transporte. Destrucción de soportes ( / ) Las normas para la destrucción de soportes y documentos deben definir el/los mecanismos de destrucción de los soportes con datos implantados en la organización, que eviten la recuperación posterior de la información. Reutilización de soportes ( / ) Las normas para la reutilización de soportes y documentos deben definir el/los mecanismos de borrado de datos implantados en la organización, que eviten la recuperación posterior de la información. Página 4 de 8

Realización de copias de respaldo () El procedimiento de realización de copias de respaldo deberá contener los siguientes datos: Mecanismos para la realización de las copias Responsable/s de la realización de las copias Soporte/s utilizado/s Periodicidad de realización de las copias (máximo semanal) Medidas de seguridad para proteger las copias Lugar de almacenamiento de las copias Periodicidad de verificación de las copias (máximo semestral) Responsable/s de la verificación de las copias Evidencias de la ejecución del procedimiento Recuperación de datos () El procedimiento de recuperación de datos deberá contener los siguientes datos: Responsable/s de la recuperación de datos Soporte/s para la recuperación #nivel medio# Responsable de la autorización para la recuperación de datos Definición del proceso de recuperación automatizada de los datos Definición del proceso de recuperación manual de los datos Periodicidad de verificación de los procedimientos de recuperación (máximo semestral) Responsable/s de la verificación de los procedimientos de recuperación #nivel medio# Control y registro de entrada de soportes () El procedimiento de control y registro de entrada de soportes deberá contener los siguientes datos: Personal autorizado para la recepción de soportes Definición del proceso de recogida y tratamiento de los soportes Mecanismo/s de registro de entrada de los soportes #nivel medio# Control y registro de salida de soportes () El procedimiento de control y registro de salida de soportes deberá contener los siguientes datos: Personal autorizado para el envío de soportes Medidas de seguridad a aplicar en los soportes para su envío Definición del proceso de envío de soportes Mecanismo/s de registro de salida de los soportes Página 5 de 8

#nivel medio# Plan de auditorías ( / ) El plan de auditorías deberá contener los siguientes datos: Ámbito de las auditorías (adecuación de medidas y controles de la Ley Orgánica 15/1999, de 13 de diciembre y su desarrollo reglamentario) Periodicidad de las auditorias (máximo cada dos años) Responsable/s de la realización de las auditorías (interna / externa) Contenidos mínimos del informe de auditoría (Sistemas auditados, deficiencias detectadas, datos, hechos y observaciones, medidas correctoras o complementarias, recomendaciones ) Responsable/s de la revisión de las auditorías (Responsable/s de Seguridad) Proceso de informe de conclusiones y comunicación al Responsable del Fichero. #nivel alto# Distribución de soportes y documentos ( / ) Definir las normas para la distribución de soportes y documentos fuera de las instalaciones de la organización (incluyendo el envío de correos electrónicos (): () La distribución de soportes automatizados debe realizarse cifrando los datos o utilizando un mecanismo que garantice la no accesibilidad ni manipulación de la información por terceros no autorizados. También se deben definir las normas para el traslado de documentos no automatizados fuera de las instalaciones de la organización (): () El traslado físico de documentación deberá protegerse con medidas que impidan el acceso o manipulación de terceros no autorizados. #nivel alto# Tratamiento de datos en dispositivos portátiles () Las normas para el tratamiento de datos en dispositivos portátiles deben contener las medidas de cifrado de la información contenida, y la prohibición del uso de dispositivos que no permitan adoptar dichas medidas. Página 6 de 8

2. Contenidos mínimos de los Registro de incidencias ( / ) El registro de incidencias deberá contener los siguientes datos: Tipo de incidencia Fecha y hora en el que se ha producido (o detectado) Usuario que notifica A quien se comunica Efectos derivados de la incidencia Medidas correctoras aplicadas #nivel medio# Persona que autoriza la recuperación de datos #nivel medio# Datos restaurados desde las copias de respaldo #nivel medio# Persona encargada de la restauración de los datos #nivel medio# Datos restaurados manualmente #nivel medio# Registro de entrada de soportes () El registro de entrada de soportes deberá contener los siguientes datos: Tipo de documento o soporte (PC, Disco duro externo, CD, DVD, Lápiz de memoria ) Fecha y hora de la recepción Emisor Número de documentos o soportes recibidos Información contenida en los documentos o soportes Forma en la que se ha recibido Persona que ha realizado la recepción #nivel medio# Registro de salida de soportes () El registro de entrada de soportes deberá contener los siguientes datos: Tipo de documento o soporte (PC, Disco duro externo, CD, DVD, Lápiz de memoria ) Fecha y hora del envío Destinatario Número de documentos o soportes enviados Información contenida en los documentos o soportes Forma de envío Persona que ha realizado el envío #nivel alto# Registro de acceso a documentos no automatizados () El registro de entrada de soportes deberá contener los siguientes datos: Tipo de documento o soporte (PC, Disco duro externo, CD, DVD, Lápiz de memoria ) Página 7 de 8

#nivel alto# Registro de acceso a datos () El registro de acceso a datos deberá almacenar como mínimo lo siguiente: Identificación de usuario que intenta acceder Fecha y hora Fichero al que se intenta acceder Tipo de acceso Acceso autorizado o denegado Registro accedido (siempre que haya sido autorizado) Página 8 de 8

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback