Medidas De Seguridad
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Medidas De Seguridad as PDF for free.
More details
- Words: 3,928
- Pages: 16
Medidas de Seguridad en el tratamiento de datos personales
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
Referencia
Medidas de Seguridad en el tratamiento de datos personales
Creación
25 de enero de 2008
Autor(es)
Firma-e, Ángel Juan Cano
Web
http://www.firma-e.com
NOMBRE ORTIN GIMENO JOSE MARIA - NIF 34785487B Firmado digitalmente por NOMBRE ORTIN GIMENO JOSE MARIA - NIF 34785487B Nombre de reconocimiento (DN): CN = NOMBRE ORTIN GIMENO JOSE MARIA - NIF 34785487B, C = ES, O = FNMT, OU = FNMT Clase 2 CA Motivo: Certifico la precisión e integridad de este documento Fecha: 2008.01.28 16:47:28 +01'00'
DOCUMENTO DE USO PÚBLICO
Pág. 1 de 16
ÍNDICE 1.
Niveles de Seguridad: ............................................................................................................ 3
2.
Documento de Seguridad: ..................................................................................................... 5
3.
Medidas de seguridad: .......................................................................................................... 7 3.1.
3.2.
3.3.
4.
Medidas para todos los tratamientos: ............................................................................................ 7 3.1.1.
Medidas Generales: ........................................................................................................ 7
3.1.2.
Medidas de seguridad de Nivel Básico: ......................................................................... 7
3.1.3.
Medidas de seguridad de Nivel Medio: .......................................................................... 7
Medidas para el tratamiento de datos automatizado: .................................................................... 8 3.2.1.
Medidas Generales: ........................................................................................................ 8
3.2.2.
Medidas de seguridad de Nivel Básico: ......................................................................... 8
3.2.3.
Medidas de seguridad de Nivel Medio: .......................................................................... 9
3.2.4.
Medidas de seguridad de Nivel Alto: .............................................................................. 9
Medidas para el tratamiento de datos no automatizado: ............................................................... 9 3.3.1.
Medidas de seguridad de Nivel Básico: ......................................................................... 9
3.3.2.
Medidas de seguridad de Nivel Alto: ............................................................................10
Comparativa de Medidas: .................................................................................................... 11
DOCUMENTO DE USO PÚBLICO
Pág. 2 de 16
1. Niveles de Seguridad: En el nuevo reglamento se mantienen los tres niveles de seguridad, básico, medio y alto, aunque se realizan algunas modificaciones como la inclusión del tratamiento de los datos de localización y tráfico de los operadores de servicios como nivel medio, la aplicación de medidas de nivel básico a ficheros con datos especialmente protegidos cuando su uso sea únicamente para transmisiones dinerarias o la opción de aplicar las medidas de seguridad sobre el dato, no necesariamente sobre todo el fichero. Los niveles que agrupan las medidas de seguridad mínimas exigidas quedan estructurados de la siguiente manera: Nivel Básico Este nivel es aplicable a todos los ficheros con datos de carácter personal. Nivel Medio Además de los ficheros a los que ya aplicaba (infracciones administrativas o penales, tributarios, solvencia patrimonial, y los que permitan la evaluación de la personalidad del afectado), se añaden los ficheros de entidades financieras y seguridad social. Consideramos incluidos en el nivel medio los ficheros que contienen datos de tráfico y localización almacenados por los operadores de servicios de comunicaciones, a los que sin embargo se le aplica la medida de registro de accesos de nivel alto. Nivel Alto Se mantiene el nivel alto para el tratamiento de los datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), los datos recabados con fines policiales sin el consentimiento de los afectados, añadiendo los datos derivados de actos de violencia de género. No obstante, bastará con la aplicación de medidas de nivel básico cuando los datos especialmente protegidos se traten con la única finalidad de realizar transferencias dinerarias a entidades de las que los afectados son socios o miembros (por ejemplo sindicatos), o se contengan en ficheros o tratamientos no automatizados de una forma incidental o accesoria sin guardar relación con su finalidad. Así mismo bastará el nivel básico al tratamiento de datos de salud que se refieran exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado con motivo del cumplimiento de deberes públicos.
Ejemplos de ficheros: Ficheros de Nivel Básico: Un fichero con datos de clientes. Un fichero con datos de socios. Un fichero de video-vigilancia. Un fichero de IRPF, con datos de cuota sindical, religión. Un fichero no automatizado de currículum con datos de minusvalía.
DOCUMENTO DE USO PÚBLICO
Pág. 3 de 16
Ficheros de Nivel Medio: Un fichero de infracciones administrativas. Un fichero de prestación de servicios financieros. Un fichero de cotizaciones a la seguridad social. Un fichero de proveedor de IP para acceso a internet. Ficheros de Nivel Alto: Un fichero de pacientes. Un fichero de personal. Un fichero de investigación policial. Un fichero de acogida a mujeres maltratadas.
DOCUMENTO DE USO PÚBLICO
Pág. 4 de 16
2. Documento de Seguridad: Al igual que en el anterior reglamento, las organizaciones deben disponer de un Documento de Seguridad que recoja todas las medidas técnicas y organizativas implantadas para el tratamiento de datos de carácter personal. El siguiente cuadro delimita los contenidos mínimos del documento según el tratamiento de los ficheros: Nivel Básico Básico Básico Básico
Básico Básico Básico Básico Básico Básico Básico Básico Básico Básico Básico Medio Medio Medio Alto
Medida Delegaciones de funciones del responsable del fichero. Autorizaciones para el trabajo fuera de los locales y validez de las mismas. Ámbito de aplicación. Medidas, normas, procedimientos de actuación, reglas y estándares implantados en la organización. Funciones y obligaciones del personal en el tratamiento de los datos de carácter personal. Estructura de los ficheros a los que aplica el documento. Descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante incidencias. Copias de trabajo de documentos Procedimientos de realización y recuperación de copias de seguridad. Medidas de protección de soportes en su transporte. Medidas de reutilización y destrucción de soportes. Personal autorizado para modificar los permisos de acceso a los recursos. Autorizaciones para salida de datos en soporte, documento o correo electrónico. Criterios de archivo Identificación de responsables de seguridad. Controles periódicos de verificación del cumplimiento. Personal autorizado a acceder a los servidores. Procedimiento de registro de acceso a documentación.
DOCUMENTO DE USO PÚBLICO
Automatizado
No Automatizado
Pág. 5 de 16
En el siguiente cuadro se contemplan las diferencias de contenidos mínimos del Documento de Seguridad establecidos en el anterior y el nuevo reglamento (aparecen sombreados en azul los contenidos coincidentes en ambos reglamentos): CONTENIDO MÍNIMO DEL DOCUMENTO DE SEGURIDAD RD 994/1999 BÁSICO
MEDIO
Ámbito de aplicación
Responsable/s de Seguridad
RD 1720/2007 ALTO
BÁSICO
MEDIO
Delegaciones de funciones del Responsable/s de Seguridad Responsable del Fichero
Medidas, normas, procedimientos , reglas y estándares
Autorizaciones para el trabajo fuera de los locales
Controles periódicos de verificación del cumplimiento
Ámbito de aplicación
Personal autorizado para el acceso a lugares donde se encuentren los servidores
Funciones y obligaciones del personal
Medidas, normas, procedimientos , reglas y estándares
Estructura de los Ficheros
Funciones y obligaciones del personal
ALTO Procedimiento de registro de acceso a la documentación
Estructura de los Ficheros
Procedimiento de notificación y gestión de incidencias
Descripción de los sistemas de información
Procedimientos de copias de respaldo y recuperación
Procedimiento de notificación y gestión de incidencias Procedimientos de copias de respaldo y recuperación
Personal autorizado para modificar accesos
Medidas de protección de soportes en su transporte Medidas de reutilización y destrucción de soportes Personal autorizado para modificar accesos
Leyenda Medida de nueva implantación
Medida del anterior reglamento sin modificación
Autorizaciones de salida de datos Criterios de archivo Copias de Trabajo
DOCUMENTO DE USO PÚBLICO
Pág. 6 de 16
3. Medidas de seguridad: El nuevo reglamento mantiene todas las medidas establecidas por el anterior, aunque muchas de ellas cambian de nivel. También regula medidas de seguridad para los tratamientos no automatizados.
3.1. Medidas para todos los tratamientos: 3.1.1. Medidas Generales: Formalizar por escrito en el Documento de Seguridad las posibles delegaciones de funciones del Responsable del Fichero en otra persona. Formalizar por escrito en el Documento de Seguridad las autorizaciones para el tratamiento de datos fuera de los locales del Responsable. Estas autorizaciones se podrán establecer por usuario o por perfil de usuario, determinando el periodo de validez de la autorización. Garantizar la aplicación de las medidas de seguridad correspondiente a los ficheros temporales, borrándolos o destruyéndolos una vez que cumplan su función. Documento de Seguridad: Elaborar uno o varios Documentos de Seguridad con las medidas de seguridad para el tratamiento de datos personales, pudiéndolo dividir por ficheros, por sistemas de información…. Este documento debe estar actualizado con las medidas implantadas en la organización y con las disposiciones vigentes en materia de seguridad de los datos de carácter personal. 3.1.2. Medidas de seguridad de Nivel Básico: Funciones y obligaciones del personal: Definir las distintas funciones y obligaciones del personal para el tratamiento de datos de carácter personal, bien por usuario o por perfiles de usuario, incluyendo las autorizaciones delegadas por el Responsable del fichero o tratamiento, debiendo informar a todo el personal de forma comprensible de las normas de seguridad que afecten al desarrollo de sus funciones. Registro de incidencias: Establecer y documentar un procedimiento de notificación y gestión de incidencias, incluyéndolo en el Documento de Seguridad, y habilitando un registro de las mismas. Control de acceso a datos: Limitar el acceso de los usuarios (propios o ajenos a la organización) únicamente a aquellos recursos necesarios para la realización de sus funciones, debiendo mantener un registro actualizado de usuario y perfiles de usuarios con los accesos autorizados de cada uno. Establecer mecanismos que eviten el acceso de los usuarios a recursos a los que no estén autorizados, reflejando en el documento de seguridad el usuario o perfil de usuarios que pueden modificar los accesos sobre los recursos. 3.1.3. Medidas de seguridad de Nivel Medio: Responsable de seguridad: Designar uno o varios Responsables de Seguridad, reflejándolo en el Documento de Seguridad, que serán los encargados de coordinar y controlar las medidas de seguridad establecidas.
DOCUMENTO DE USO PÚBLICO
Pág. 7 de 16
Auditoría: Realizar una auditoría al menos bianual de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos, que dictamine sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario. Estas auditorías serán analizadas por el/los Responsables de Seguridad, que deberán implantar las medidas correctoras o complementarias y elevar las conclusiones al Responsable del Fichero. Se realizará una auditoría extraordinaria siempre que existan modificaciones sustanciales en el sistema de tratamiento de los datos. Gestión de soportes y documentos: Establecer un sistema que registre las entradas y salidas de soportes o documentos con datos de carácter personal.
3.2. Medidas para el tratamiento de datos automatizado: 3.2.1.
Medidas Generales:
Garantizar un nivel de seguridad equivalente al acceso local a los accesos a datos automatizados a través de redes de comunicaciones (públicas o no). 3.2.2. Medidas de seguridad de Nivel Básico: Gestión de soportes y documentos: Los soportes que contengan datos de carácter personal deben permitir identificar el tipo de información que contienen, (a menos que las características del soporte lo imposibiliten), constar en un inventario, y permitir el acceso a los mismos exclusivamente al personal autorizado. La salida de soportes y documentos, así como los correos electrónicos con datos de carácter personal deberá ser autorizada por el Responsable del fichero o constar como autorizada en el Documento de Seguridad. Para el traslado de los documentos de deben implantar medidas que eviten el acceso, perdida o sustracción de los mismos. Los soportes que vayan a ser desechados deben ser destruidos o borrados para que nadie pueda acceder o recuperar la información contenida en ellos. Identificación y autenticación: Implantar un sistema de identificación y autenticación inequívoca y personalizada para cada usuario, verificando la autorización para el acceso a los datos. Si el método de identificación se realiza mediante contraseñas, se debe establecer y documentar un procedimiento para la asignación, almacenamiento y comunicación confidencial de la contraseña, estableciendo el periodo de validez de las contraseñas (no superior a un año) y reflejándolo en el Documento de Seguridad Copias de respaldo y recuperación de datos: Establecer procedimientos de realización de copias de seguridad, cuya periodicidad no sea superior a 7 días, (salvo que no exista modificación de los datos en dicho periodo), y procedimientos de recuperación de datos que garanticen la recuperación de los mimos. El Responsable del fichero, o en su caso la persona o perfil designado en el Documento de Seguridad, se encargará de la verificación de la correcta definición, funcionamiento y aplicación de los procedimientos de copia y recuperación de datos. Las pruebas realizadas con datos reales deberán cumplir las medidas de seguridad correspondientes, realizando previamente una copia de seguridad de dichos datos. DOCUMENTO DE USO PÚBLICO
Pág. 8 de 16
3.2.3. Medidas de seguridad de Nivel Medio: Identificación y autenticación: Establecer medidas que impidan el intento de acceso no autorizado de manera reiterada al sistema de información. Control de acceso físico a servidores de datos: Implantar medidas que restrinjan el acceso a los lugares donde se encuentren los servidores al personal no autorizado. Registro de incidencias: Las recuperaciones de datos deberán ser autorizadas por el Responsable del Fichero y ser registradas en el registro de incidencias. 3.2.4. Medidas de seguridad de Nivel Alto: Gestión y distribución de soportes: La identificación de soportes se debe realizar de forma no comprensible para el personal no autorizado. La distribución de soportes se debe realizar utilizando mecanismos que eviten el acceso o manipulación no autorizado de la información, como el cifrado de los mismos, igualmente se cifrarán los datos contenidos en dispositivos portátiles que se saquen fuera de los locales de la organización, debiendo evitar el tratamiento en dispositivos portátiles que no lo permitan. Copias de respaldo y recuperación de datos: Almacenar una copia de seguridad de los datos y de los procedimientos de recuperación fuera de los locales de la organización. Registro de accesos: Configurar un registro que almacene los intentos de acceso a los datos, así como las acciones realizadas por los usuarios que hayan accedido, manteniendo dicho registro al menos durante dos años, y debiendo ser revisado por el Responsable de Seguridad mensualmente, quien deberá emitir un informe de la revisiones realizadas. Telecomunicaciones: Las comunicaciones de datos a través de redes públicas o inalámbricas se realizaran con algún mecanismo que evite el acceso o manipulación por terceros, como por ejemplo cifrándolas.
3.3. Medidas para el tratamiento de datos no automatizado: 3.3.1. Medidas de seguridad de Nivel Básico: Criterios de archivo de soportes: El archivo de soportes o documentos deberá garantizar la correcta conservación de los mismos, la localización y consulta de la información contenida. Dispositivos de almacenamiento: Implantar mecanismos que eviten la apertura de los dispositivos que contengan datos de carácter personal.
DOCUMENTO DE USO PÚBLICO
Pág. 9 de 16
Custodia de los soportes: Establecer normas para que el personal que trate los soportes con datos antes de su almacenamiento, custodie e impida el acceso a los mismos por parte de personal no autorizado. 3.3.2. Medidas de seguridad de Nivel Alto: Almacenamiento de la información: Los elementos de almacenaje de documentos o soportes no automatizados con datos deben encontrase en áreas de acceso restringido, con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, que deberán permanecer cerradas cuando no se acceda a la información. Copia o reproducción de soportes o documentos: Las copias de los soportes o documentos deberán realizarse bajo control de personal autorizado, debiendo destruir las copias desechadas de forma que se evite el acceso a la información que contenían. Registro de accesos a información automatizada: Configurar un registro que almacene los intentos de acceso a los datos, así como las acciones realizadas por los usuarios que hayan accedido, debiendo ser revisado este registro por el Responsable de Seguridad mensualmente, quien deberá emitir un informe de dicho registro. Acceso a la información: Implantar medidas que permitan identificar los accesos realizados cuando los documentos se puedan utilizar por varios usuarios, debiendo quedar constancia en un registro del acceso de personas no autorizadas formalmente en el Documento de Seguridad. Traslado de documentación: Implantar medidas que impidan el acceso o manipulación por terceros cuando se trasladen soportes o documentos con datos.
DOCUMENTO DE USO PÚBLICO
Pág. 10 de 16
4. Comparativa de Medidas: En los siguientes cuadros aparecen comparadas las medidas establecidas en el RD 994/1999 y las que se establecen en el RD 1720/2007, ordenadas por áreas de seguridad. La leyenda para todos los usuarios es la siguiente:
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
DOCUMENTO DE USO PÚBLICO
Pág. 11 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO AL PERSONAL Definición y documentación de funciones y obligaciones
Nombrar a uno o varios Responsables de Seguridad
Definición y documentación de funciones y obligaciones
Nombrar a uno o varios Responsables de Seguridad
Difusión entre el personal de normas, procedimientos… que afecten a sus funciones y de las consecuencias del incumplimiento de las mismas
Funciones del Responsable de Seguridad
Difusión entre el personal de normas, procedimientos… que afecten a sus funciones y de las consecuencias del incumplimiento de las mismas
Funciones del Responsable de Seguridad
Delegaciones de funciones del Responsable del Fichero en miembros del personal
Autorizar por escrito el personal autorizado para tratar datos fuera de los locales
Reflejar funciones y obligaciones de terceros con acceso a datos
Documentar el personal autorizado para modificar permisos de acceso
MEDIDAS RESPECTO A LAS INCIDENCIAS Definición y documentación de un procedimiento de notificación, gestión y respuesta ante incidencias
Mantener un registro de incidencias
Incluir recuperaciones de datos en registro de incidencias
Definición y documentación de un procedimiento de notificación, gestión y respuesta ante incidencias
Incluir recuperaciones de datos en registro de incidencias
Mantener un registro de incidencias
DOCUMENTO DE USO PÚBLICO
Pág. 12 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LAS MEDIDAS DE IDENTIFICACIÓN Y AUTENTICACIÓN Relación actualizada de usuarios y accesos
Identificación inequívoca y personalizada de usuarios
Relación actualizada de usuarios y accesos
Mecanismos de identificación y autenticación
Limitación de intentos reiterados de acceso no autorizado
Mecanismos de identificación y autenticación
Limitación de intentos reiterados de acceso no autorizado
Medidas de identificación para el acceso el acceso a información no automatizada
Identificación inequívoca y personalizada de usuarios
Con contraseñas: Procedimiento de asignación, distribución y almacenamiento
Con contraseñas: Procedimiento de asignación, distribución confidencial y almacenamiento
Con contraseñas: Caducidad de las contraseñas
Con contraseñas: Almacenamiento ininteligible
Con contraseñas: Caducidad de las contraseñas al menos anual
Con contraseñas: Almacenamiento ininteligible
MEDIDAS RESPECTO A LAS COMUNICACIONES Garantizar las medidas de seguridad para el acceso a datos a través de redes de comunicaciones
Implantación de medidas para la transmisión ininteligible de datos a través de redes de telecomunicaciones
Garantizar las medidas de seguridad para el acceso a datos a través de redes de comunicaciones (publicas y privadas)
Implantación de medidas para la transmisión ininteligible de datos a través de redes de telecomunicaciones (publicas)
Autorización de salida de datos por correo electrónico
DOCUMENTO DE USO PÚBLICO
Pág. 13 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LA CONTROL DE ACCESO Limitación de acceso del Control de restricción de Limitación de acceso a datos personal (propio o ajeno) a acceso a los lugares donde se mediante llave o sistema recursos e información ubiquen los servidores equivalente necesarios para el desarrollo de sus funciones
Control de acceso físico a los Limitación de acceso del locales personal a recursos e información necesarios para el desarrollo de sus funciones
Mecanismos de limitación de acceso no autorizado
Mecanismos de limitación de acceso no autorizado
Medidas de identificación de accesos a documentos (cuando accedan varios usuarios)
Mecanismos de limitación de acceso a dispositivos no automatizados
MEDIDAS RESPECTO AL REGISTRO DE ACCESOS Registro de accesos de usuarios a datos y tipo de acceso realizado
Registro de accesos de usuarios a datos y tipo de acceso realizado
Informe mensual de accesos por parte del Responsable de Seguridad
Informe mensual de accesos por parte del Responsable de Seguridad
Conservación de 2 años de los registros
Conservación de 2 años de los registros Registro de acceso a información no automatizada.
DOCUMENTO DE USO PÚBLICO
Pág. 14 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LA GESTIÓN DE SOPORTES Medidas de identificación de soportes y el tipo de información que contienen
Registro de entrada de soportes
Medidas para impedir el acceso o manipulación de datos en su distribución
Medidas de identificación de soportes y el tipo de información que contienen
Registro de salida de soportes Inventario actualizado de soportes
Almacenamiento de soportes con acceso restringido
Autorización de salida de soportes por el Responsable del Fichero
Inventario actualizado de soportes Medidas para impedir el acceso o recuperación de datos de soportes reutilizados o desechados
Autorización por escrito por el Responsable del Fichero para la salida de soportes
Medidas para impedir el acceso o manipulación de datos de soportes cuando salga fuera de los locales
Medidas para impedir el acceso, perdida o robo de soportes con datos en su traslado
Medidas para impedir el acceso o recuperación de datos de soportes reutilizados o desechados
Medidas de identificación de soportes y el tipo de información que contienen de forma incomprensible para el personal no autorizado Registro de salida de soportes y documentos Registro de entrada de soportes y documentos
Medidas para impedir el acceso o manipulación de datos de soportes o documentos en su distribución
Cifrado de dispositivos portátiles para el tratamiento de datos fuera de las instalaciones
Destrucción de soportes o documentos de copias desechadas
Archivo de soportes o documentos no automatizados garantizando su conservación, localización y fácil consulta
Normas para el tratamiento por parte del personal de soportes o documentos no automatizados
DOCUMENTO DE USO PÚBLICO
Pág. 15 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LAS MEDIDAS DE COPIA DE RESPALDO Y RECUPERACIÓN Establecer y documentar procedimiento de realización de copias de respaldo
Autorización por escrito para recuperación de datos
Establecer y documentar procedimiento de recuperación de adtos
Almacenamiento de copias de seguridad fuera de las instalaciones principales
Establecer y documentar procedimiento de realización de copias de respaldo
Almacenamiento de procedimientos de recuperación fuera de las instalaciones principales
Establecer y documentar procedimiento de recuperación de adtos
Autorización por escrito para recuperación de datos
Almacenamiento de procedimientos de recuperación fuera de las instalaciones principales
Periodicidad al menos semanal de las copias
Periodicidad al menos semanal de las copias
Verificación de las copias y recuperación
Almacenamiento de copias de seguridad fuera de las instalaciones principales
Control por personal autorizado de las copias de documentos o soportes no automatizados
Verificación semestral de las copias y recuperación
Realización de copia de seguridad previa a las pruebas con datos reales
MEDIDAS RESPECTO A LAS MEDIDAS DE AUDITORÍA DE LAS MEDIDAS Realización de auditoría bienal Realización de auditoría bienal Realización de auditorías tras cambios en los sistemas
Informe de deficiencias y medidas correctoras
Informe de deficiencias y medidas correctoras
Análisis del informe por el Responsable de Seguridad
Análisis del informe por el Responsable de Seguridad
Adopción de medidas correctoras
Adopción de medidas correctoras
DOCUMENTO DE USO PÚBLICO
Pág. 16 de 16
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
Referencia
Medidas de Seguridad en el tratamiento de datos personales
Creación
25 de enero de 2008
Autor(es)
Firma-e, Ángel Juan Cano
Web
http://www.firma-e.com
NOMBRE ORTIN GIMENO JOSE MARIA - NIF 34785487B Firmado digitalmente por NOMBRE ORTIN GIMENO JOSE MARIA - NIF 34785487B Nombre de reconocimiento (DN): CN = NOMBRE ORTIN GIMENO JOSE MARIA - NIF 34785487B, C = ES, O = FNMT, OU = FNMT Clase 2 CA Motivo: Certifico la precisión e integridad de este documento Fecha: 2008.01.28 16:47:28 +01'00'
DOCUMENTO DE USO PÚBLICO
Pág. 1 de 16
ÍNDICE 1.
Niveles de Seguridad: ............................................................................................................ 3
2.
Documento de Seguridad: ..................................................................................................... 5
3.
Medidas de seguridad: .......................................................................................................... 7 3.1.
3.2.
3.3.
4.
Medidas para todos los tratamientos: ............................................................................................ 7 3.1.1.
Medidas Generales: ........................................................................................................ 7
3.1.2.
Medidas de seguridad de Nivel Básico: ......................................................................... 7
3.1.3.
Medidas de seguridad de Nivel Medio: .......................................................................... 7
Medidas para el tratamiento de datos automatizado: .................................................................... 8 3.2.1.
Medidas Generales: ........................................................................................................ 8
3.2.2.
Medidas de seguridad de Nivel Básico: ......................................................................... 8
3.2.3.
Medidas de seguridad de Nivel Medio: .......................................................................... 9
3.2.4.
Medidas de seguridad de Nivel Alto: .............................................................................. 9
Medidas para el tratamiento de datos no automatizado: ............................................................... 9 3.3.1.
Medidas de seguridad de Nivel Básico: ......................................................................... 9
3.3.2.
Medidas de seguridad de Nivel Alto: ............................................................................10
Comparativa de Medidas: .................................................................................................... 11
DOCUMENTO DE USO PÚBLICO
Pág. 2 de 16
1. Niveles de Seguridad: En el nuevo reglamento se mantienen los tres niveles de seguridad, básico, medio y alto, aunque se realizan algunas modificaciones como la inclusión del tratamiento de los datos de localización y tráfico de los operadores de servicios como nivel medio, la aplicación de medidas de nivel básico a ficheros con datos especialmente protegidos cuando su uso sea únicamente para transmisiones dinerarias o la opción de aplicar las medidas de seguridad sobre el dato, no necesariamente sobre todo el fichero. Los niveles que agrupan las medidas de seguridad mínimas exigidas quedan estructurados de la siguiente manera: Nivel Básico Este nivel es aplicable a todos los ficheros con datos de carácter personal. Nivel Medio Además de los ficheros a los que ya aplicaba (infracciones administrativas o penales, tributarios, solvencia patrimonial, y los que permitan la evaluación de la personalidad del afectado), se añaden los ficheros de entidades financieras y seguridad social. Consideramos incluidos en el nivel medio los ficheros que contienen datos de tráfico y localización almacenados por los operadores de servicios de comunicaciones, a los que sin embargo se le aplica la medida de registro de accesos de nivel alto. Nivel Alto Se mantiene el nivel alto para el tratamiento de los datos especialmente protegidos (ideología, afiliación sindical, religión, creencias, origen racial, salud y vida sexual), los datos recabados con fines policiales sin el consentimiento de los afectados, añadiendo los datos derivados de actos de violencia de género. No obstante, bastará con la aplicación de medidas de nivel básico cuando los datos especialmente protegidos se traten con la única finalidad de realizar transferencias dinerarias a entidades de las que los afectados son socios o miembros (por ejemplo sindicatos), o se contengan en ficheros o tratamientos no automatizados de una forma incidental o accesoria sin guardar relación con su finalidad. Así mismo bastará el nivel básico al tratamiento de datos de salud que se refieran exclusivamente al grado de discapacidad o a la simple declaración de la condición de discapacidad o invalidez del afectado con motivo del cumplimiento de deberes públicos.
Ejemplos de ficheros: Ficheros de Nivel Básico: Un fichero con datos de clientes. Un fichero con datos de socios. Un fichero de video-vigilancia. Un fichero de IRPF, con datos de cuota sindical, religión. Un fichero no automatizado de currículum con datos de minusvalía.
DOCUMENTO DE USO PÚBLICO
Pág. 3 de 16
Ficheros de Nivel Medio: Un fichero de infracciones administrativas. Un fichero de prestación de servicios financieros. Un fichero de cotizaciones a la seguridad social. Un fichero de proveedor de IP para acceso a internet. Ficheros de Nivel Alto: Un fichero de pacientes. Un fichero de personal. Un fichero de investigación policial. Un fichero de acogida a mujeres maltratadas.
DOCUMENTO DE USO PÚBLICO
Pág. 4 de 16
2. Documento de Seguridad: Al igual que en el anterior reglamento, las organizaciones deben disponer de un Documento de Seguridad que recoja todas las medidas técnicas y organizativas implantadas para el tratamiento de datos de carácter personal. El siguiente cuadro delimita los contenidos mínimos del documento según el tratamiento de los ficheros: Nivel Básico Básico Básico Básico
Básico Básico Básico Básico Básico Básico Básico Básico Básico Básico Básico Medio Medio Medio Alto
Medida Delegaciones de funciones del responsable del fichero. Autorizaciones para el trabajo fuera de los locales y validez de las mismas. Ámbito de aplicación. Medidas, normas, procedimientos de actuación, reglas y estándares implantados en la organización. Funciones y obligaciones del personal en el tratamiento de los datos de carácter personal. Estructura de los ficheros a los que aplica el documento. Descripción de los sistemas de información que los tratan. Procedimiento de notificación, gestión y respuesta ante incidencias. Copias de trabajo de documentos Procedimientos de realización y recuperación de copias de seguridad. Medidas de protección de soportes en su transporte. Medidas de reutilización y destrucción de soportes. Personal autorizado para modificar los permisos de acceso a los recursos. Autorizaciones para salida de datos en soporte, documento o correo electrónico. Criterios de archivo Identificación de responsables de seguridad. Controles periódicos de verificación del cumplimiento. Personal autorizado a acceder a los servidores. Procedimiento de registro de acceso a documentación.
DOCUMENTO DE USO PÚBLICO
Automatizado
No Automatizado
Pág. 5 de 16
En el siguiente cuadro se contemplan las diferencias de contenidos mínimos del Documento de Seguridad establecidos en el anterior y el nuevo reglamento (aparecen sombreados en azul los contenidos coincidentes en ambos reglamentos): CONTENIDO MÍNIMO DEL DOCUMENTO DE SEGURIDAD RD 994/1999 BÁSICO
MEDIO
Ámbito de aplicación
Responsable/s de Seguridad
RD 1720/2007 ALTO
BÁSICO
MEDIO
Delegaciones de funciones del Responsable/s de Seguridad Responsable del Fichero
Medidas, normas, procedimientos , reglas y estándares
Autorizaciones para el trabajo fuera de los locales
Controles periódicos de verificación del cumplimiento
Ámbito de aplicación
Personal autorizado para el acceso a lugares donde se encuentren los servidores
Funciones y obligaciones del personal
Medidas, normas, procedimientos , reglas y estándares
Estructura de los Ficheros
Funciones y obligaciones del personal
ALTO Procedimiento de registro de acceso a la documentación
Estructura de los Ficheros
Procedimiento de notificación y gestión de incidencias
Descripción de los sistemas de información
Procedimientos de copias de respaldo y recuperación
Procedimiento de notificación y gestión de incidencias Procedimientos de copias de respaldo y recuperación
Personal autorizado para modificar accesos
Medidas de protección de soportes en su transporte Medidas de reutilización y destrucción de soportes Personal autorizado para modificar accesos
Leyenda Medida de nueva implantación
Medida del anterior reglamento sin modificación
Autorizaciones de salida de datos Criterios de archivo Copias de Trabajo
DOCUMENTO DE USO PÚBLICO
Pág. 6 de 16
3. Medidas de seguridad: El nuevo reglamento mantiene todas las medidas establecidas por el anterior, aunque muchas de ellas cambian de nivel. También regula medidas de seguridad para los tratamientos no automatizados.
3.1. Medidas para todos los tratamientos: 3.1.1. Medidas Generales: Formalizar por escrito en el Documento de Seguridad las posibles delegaciones de funciones del Responsable del Fichero en otra persona. Formalizar por escrito en el Documento de Seguridad las autorizaciones para el tratamiento de datos fuera de los locales del Responsable. Estas autorizaciones se podrán establecer por usuario o por perfil de usuario, determinando el periodo de validez de la autorización. Garantizar la aplicación de las medidas de seguridad correspondiente a los ficheros temporales, borrándolos o destruyéndolos una vez que cumplan su función. Documento de Seguridad: Elaborar uno o varios Documentos de Seguridad con las medidas de seguridad para el tratamiento de datos personales, pudiéndolo dividir por ficheros, por sistemas de información…. Este documento debe estar actualizado con las medidas implantadas en la organización y con las disposiciones vigentes en materia de seguridad de los datos de carácter personal. 3.1.2. Medidas de seguridad de Nivel Básico: Funciones y obligaciones del personal: Definir las distintas funciones y obligaciones del personal para el tratamiento de datos de carácter personal, bien por usuario o por perfiles de usuario, incluyendo las autorizaciones delegadas por el Responsable del fichero o tratamiento, debiendo informar a todo el personal de forma comprensible de las normas de seguridad que afecten al desarrollo de sus funciones. Registro de incidencias: Establecer y documentar un procedimiento de notificación y gestión de incidencias, incluyéndolo en el Documento de Seguridad, y habilitando un registro de las mismas. Control de acceso a datos: Limitar el acceso de los usuarios (propios o ajenos a la organización) únicamente a aquellos recursos necesarios para la realización de sus funciones, debiendo mantener un registro actualizado de usuario y perfiles de usuarios con los accesos autorizados de cada uno. Establecer mecanismos que eviten el acceso de los usuarios a recursos a los que no estén autorizados, reflejando en el documento de seguridad el usuario o perfil de usuarios que pueden modificar los accesos sobre los recursos. 3.1.3. Medidas de seguridad de Nivel Medio: Responsable de seguridad: Designar uno o varios Responsables de Seguridad, reflejándolo en el Documento de Seguridad, que serán los encargados de coordinar y controlar las medidas de seguridad establecidas.
DOCUMENTO DE USO PÚBLICO
Pág. 7 de 16
Auditoría: Realizar una auditoría al menos bianual de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos, que dictamine sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario. Estas auditorías serán analizadas por el/los Responsables de Seguridad, que deberán implantar las medidas correctoras o complementarias y elevar las conclusiones al Responsable del Fichero. Se realizará una auditoría extraordinaria siempre que existan modificaciones sustanciales en el sistema de tratamiento de los datos. Gestión de soportes y documentos: Establecer un sistema que registre las entradas y salidas de soportes o documentos con datos de carácter personal.
3.2. Medidas para el tratamiento de datos automatizado: 3.2.1.
Medidas Generales:
Garantizar un nivel de seguridad equivalente al acceso local a los accesos a datos automatizados a través de redes de comunicaciones (públicas o no). 3.2.2. Medidas de seguridad de Nivel Básico: Gestión de soportes y documentos: Los soportes que contengan datos de carácter personal deben permitir identificar el tipo de información que contienen, (a menos que las características del soporte lo imposibiliten), constar en un inventario, y permitir el acceso a los mismos exclusivamente al personal autorizado. La salida de soportes y documentos, así como los correos electrónicos con datos de carácter personal deberá ser autorizada por el Responsable del fichero o constar como autorizada en el Documento de Seguridad. Para el traslado de los documentos de deben implantar medidas que eviten el acceso, perdida o sustracción de los mismos. Los soportes que vayan a ser desechados deben ser destruidos o borrados para que nadie pueda acceder o recuperar la información contenida en ellos. Identificación y autenticación: Implantar un sistema de identificación y autenticación inequívoca y personalizada para cada usuario, verificando la autorización para el acceso a los datos. Si el método de identificación se realiza mediante contraseñas, se debe establecer y documentar un procedimiento para la asignación, almacenamiento y comunicación confidencial de la contraseña, estableciendo el periodo de validez de las contraseñas (no superior a un año) y reflejándolo en el Documento de Seguridad Copias de respaldo y recuperación de datos: Establecer procedimientos de realización de copias de seguridad, cuya periodicidad no sea superior a 7 días, (salvo que no exista modificación de los datos en dicho periodo), y procedimientos de recuperación de datos que garanticen la recuperación de los mimos. El Responsable del fichero, o en su caso la persona o perfil designado en el Documento de Seguridad, se encargará de la verificación de la correcta definición, funcionamiento y aplicación de los procedimientos de copia y recuperación de datos. Las pruebas realizadas con datos reales deberán cumplir las medidas de seguridad correspondientes, realizando previamente una copia de seguridad de dichos datos. DOCUMENTO DE USO PÚBLICO
Pág. 8 de 16
3.2.3. Medidas de seguridad de Nivel Medio: Identificación y autenticación: Establecer medidas que impidan el intento de acceso no autorizado de manera reiterada al sistema de información. Control de acceso físico a servidores de datos: Implantar medidas que restrinjan el acceso a los lugares donde se encuentren los servidores al personal no autorizado. Registro de incidencias: Las recuperaciones de datos deberán ser autorizadas por el Responsable del Fichero y ser registradas en el registro de incidencias. 3.2.4. Medidas de seguridad de Nivel Alto: Gestión y distribución de soportes: La identificación de soportes se debe realizar de forma no comprensible para el personal no autorizado. La distribución de soportes se debe realizar utilizando mecanismos que eviten el acceso o manipulación no autorizado de la información, como el cifrado de los mismos, igualmente se cifrarán los datos contenidos en dispositivos portátiles que se saquen fuera de los locales de la organización, debiendo evitar el tratamiento en dispositivos portátiles que no lo permitan. Copias de respaldo y recuperación de datos: Almacenar una copia de seguridad de los datos y de los procedimientos de recuperación fuera de los locales de la organización. Registro de accesos: Configurar un registro que almacene los intentos de acceso a los datos, así como las acciones realizadas por los usuarios que hayan accedido, manteniendo dicho registro al menos durante dos años, y debiendo ser revisado por el Responsable de Seguridad mensualmente, quien deberá emitir un informe de la revisiones realizadas. Telecomunicaciones: Las comunicaciones de datos a través de redes públicas o inalámbricas se realizaran con algún mecanismo que evite el acceso o manipulación por terceros, como por ejemplo cifrándolas.
3.3. Medidas para el tratamiento de datos no automatizado: 3.3.1. Medidas de seguridad de Nivel Básico: Criterios de archivo de soportes: El archivo de soportes o documentos deberá garantizar la correcta conservación de los mismos, la localización y consulta de la información contenida. Dispositivos de almacenamiento: Implantar mecanismos que eviten la apertura de los dispositivos que contengan datos de carácter personal.
DOCUMENTO DE USO PÚBLICO
Pág. 9 de 16
Custodia de los soportes: Establecer normas para que el personal que trate los soportes con datos antes de su almacenamiento, custodie e impida el acceso a los mismos por parte de personal no autorizado. 3.3.2. Medidas de seguridad de Nivel Alto: Almacenamiento de la información: Los elementos de almacenaje de documentos o soportes no automatizados con datos deben encontrase en áreas de acceso restringido, con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente, que deberán permanecer cerradas cuando no se acceda a la información. Copia o reproducción de soportes o documentos: Las copias de los soportes o documentos deberán realizarse bajo control de personal autorizado, debiendo destruir las copias desechadas de forma que se evite el acceso a la información que contenían. Registro de accesos a información automatizada: Configurar un registro que almacene los intentos de acceso a los datos, así como las acciones realizadas por los usuarios que hayan accedido, debiendo ser revisado este registro por el Responsable de Seguridad mensualmente, quien deberá emitir un informe de dicho registro. Acceso a la información: Implantar medidas que permitan identificar los accesos realizados cuando los documentos se puedan utilizar por varios usuarios, debiendo quedar constancia en un registro del acceso de personas no autorizadas formalmente en el Documento de Seguridad. Traslado de documentación: Implantar medidas que impidan el acceso o manipulación por terceros cuando se trasladen soportes o documentos con datos.
DOCUMENTO DE USO PÚBLICO
Pág. 10 de 16
4. Comparativa de Medidas: En los siguientes cuadros aparecen comparadas las medidas establecidas en el RD 994/1999 y las que se establecen en el RD 1720/2007, ordenadas por áreas de seguridad. La leyenda para todos los usuarios es la siguiente:
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
DOCUMENTO DE USO PÚBLICO
Pág. 11 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO AL PERSONAL Definición y documentación de funciones y obligaciones
Nombrar a uno o varios Responsables de Seguridad
Definición y documentación de funciones y obligaciones
Nombrar a uno o varios Responsables de Seguridad
Difusión entre el personal de normas, procedimientos… que afecten a sus funciones y de las consecuencias del incumplimiento de las mismas
Funciones del Responsable de Seguridad
Difusión entre el personal de normas, procedimientos… que afecten a sus funciones y de las consecuencias del incumplimiento de las mismas
Funciones del Responsable de Seguridad
Delegaciones de funciones del Responsable del Fichero en miembros del personal
Autorizar por escrito el personal autorizado para tratar datos fuera de los locales
Reflejar funciones y obligaciones de terceros con acceso a datos
Documentar el personal autorizado para modificar permisos de acceso
MEDIDAS RESPECTO A LAS INCIDENCIAS Definición y documentación de un procedimiento de notificación, gestión y respuesta ante incidencias
Mantener un registro de incidencias
Incluir recuperaciones de datos en registro de incidencias
Definición y documentación de un procedimiento de notificación, gestión y respuesta ante incidencias
Incluir recuperaciones de datos en registro de incidencias
Mantener un registro de incidencias
DOCUMENTO DE USO PÚBLICO
Pág. 12 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LAS MEDIDAS DE IDENTIFICACIÓN Y AUTENTICACIÓN Relación actualizada de usuarios y accesos
Identificación inequívoca y personalizada de usuarios
Relación actualizada de usuarios y accesos
Mecanismos de identificación y autenticación
Limitación de intentos reiterados de acceso no autorizado
Mecanismos de identificación y autenticación
Limitación de intentos reiterados de acceso no autorizado
Medidas de identificación para el acceso el acceso a información no automatizada
Identificación inequívoca y personalizada de usuarios
Con contraseñas: Procedimiento de asignación, distribución y almacenamiento
Con contraseñas: Procedimiento de asignación, distribución confidencial y almacenamiento
Con contraseñas: Caducidad de las contraseñas
Con contraseñas: Almacenamiento ininteligible
Con contraseñas: Caducidad de las contraseñas al menos anual
Con contraseñas: Almacenamiento ininteligible
MEDIDAS RESPECTO A LAS COMUNICACIONES Garantizar las medidas de seguridad para el acceso a datos a través de redes de comunicaciones
Implantación de medidas para la transmisión ininteligible de datos a través de redes de telecomunicaciones
Garantizar las medidas de seguridad para el acceso a datos a través de redes de comunicaciones (publicas y privadas)
Implantación de medidas para la transmisión ininteligible de datos a través de redes de telecomunicaciones (publicas)
Autorización de salida de datos por correo electrónico
DOCUMENTO DE USO PÚBLICO
Pág. 13 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LA CONTROL DE ACCESO Limitación de acceso del Control de restricción de Limitación de acceso a datos personal (propio o ajeno) a acceso a los lugares donde se mediante llave o sistema recursos e información ubiquen los servidores equivalente necesarios para el desarrollo de sus funciones
Control de acceso físico a los Limitación de acceso del locales personal a recursos e información necesarios para el desarrollo de sus funciones
Mecanismos de limitación de acceso no autorizado
Mecanismos de limitación de acceso no autorizado
Medidas de identificación de accesos a documentos (cuando accedan varios usuarios)
Mecanismos de limitación de acceso a dispositivos no automatizados
MEDIDAS RESPECTO AL REGISTRO DE ACCESOS Registro de accesos de usuarios a datos y tipo de acceso realizado
Registro de accesos de usuarios a datos y tipo de acceso realizado
Informe mensual de accesos por parte del Responsable de Seguridad
Informe mensual de accesos por parte del Responsable de Seguridad
Conservación de 2 años de los registros
Conservación de 2 años de los registros Registro de acceso a información no automatizada.
DOCUMENTO DE USO PÚBLICO
Pág. 14 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LA GESTIÓN DE SOPORTES Medidas de identificación de soportes y el tipo de información que contienen
Registro de entrada de soportes
Medidas para impedir el acceso o manipulación de datos en su distribución
Medidas de identificación de soportes y el tipo de información que contienen
Registro de salida de soportes Inventario actualizado de soportes
Almacenamiento de soportes con acceso restringido
Autorización de salida de soportes por el Responsable del Fichero
Inventario actualizado de soportes Medidas para impedir el acceso o recuperación de datos de soportes reutilizados o desechados
Autorización por escrito por el Responsable del Fichero para la salida de soportes
Medidas para impedir el acceso o manipulación de datos de soportes cuando salga fuera de los locales
Medidas para impedir el acceso, perdida o robo de soportes con datos en su traslado
Medidas para impedir el acceso o recuperación de datos de soportes reutilizados o desechados
Medidas de identificación de soportes y el tipo de información que contienen de forma incomprensible para el personal no autorizado Registro de salida de soportes y documentos Registro de entrada de soportes y documentos
Medidas para impedir el acceso o manipulación de datos de soportes o documentos en su distribución
Cifrado de dispositivos portátiles para el tratamiento de datos fuera de las instalaciones
Destrucción de soportes o documentos de copias desechadas
Archivo de soportes o documentos no automatizados garantizando su conservación, localización y fácil consulta
Normas para el tratamiento por parte del personal de soportes o documentos no automatizados
DOCUMENTO DE USO PÚBLICO
Pág. 15 de 16
RD 994/1999 BÁSICO
MEDIO
Medida anterior (RD 994/1999)
Medida del anterior reglamento modificada
Medida del anterior reglamento sin modificación
Medida de nueva implantación
RD 1720/2007 ALTO
BÁSICO
MEDIO
ALTO
MEDIDAS RESPECTO A LAS MEDIDAS DE COPIA DE RESPALDO Y RECUPERACIÓN Establecer y documentar procedimiento de realización de copias de respaldo
Autorización por escrito para recuperación de datos
Establecer y documentar procedimiento de recuperación de adtos
Almacenamiento de copias de seguridad fuera de las instalaciones principales
Establecer y documentar procedimiento de realización de copias de respaldo
Almacenamiento de procedimientos de recuperación fuera de las instalaciones principales
Establecer y documentar procedimiento de recuperación de adtos
Autorización por escrito para recuperación de datos
Almacenamiento de procedimientos de recuperación fuera de las instalaciones principales
Periodicidad al menos semanal de las copias
Periodicidad al menos semanal de las copias
Verificación de las copias y recuperación
Almacenamiento de copias de seguridad fuera de las instalaciones principales
Control por personal autorizado de las copias de documentos o soportes no automatizados
Verificación semestral de las copias y recuperación
Realización de copia de seguridad previa a las pruebas con datos reales
MEDIDAS RESPECTO A LAS MEDIDAS DE AUDITORÍA DE LAS MEDIDAS Realización de auditoría bienal Realización de auditoría bienal Realización de auditorías tras cambios en los sistemas
Informe de deficiencias y medidas correctoras
Informe de deficiencias y medidas correctoras
Análisis del informe por el Responsable de Seguridad
Análisis del informe por el Responsable de Seguridad
Adopción de medidas correctoras
Adopción de medidas correctoras
DOCUMENTO DE USO PÚBLICO
Pág. 16 de 16
Related Documents
Medidas De Seguridad
May 2020 6
Medidas De Seguridad Vial
May 2020 8
Medidas De Seguridad En Documentos
November 2019 22
Tema 10 Las Medidas De Seguridad
November 2019 17
Medidas De Seguridad Para Manejar El Cuchillo
December 2019 12More Documents from "Conexion Adventista"
Texto Lo 15 1999
May 2020 6
Medidas De Seguridad
May 2020 6
Position Paper On Hr 704
May 2020 23
