Nivel medio LOPD; auditoría y revisión 24 meses

CarlosLOPD medidas nivel medio, Mantenimiento Informático

Como hemos indicado anteriormente, el Reglamento de la LOPD ha establecido los niveles de seguridad de forma acumulativa, es decir, que al Nivel de seguridad Medio se aplicarán las medidas de seguridad del Nivel Básico y aquellas que se establecen en los arts.15 a 22 del Reglamento 994/1999.

Igualmente en el Nivel Máximo aplicaremos todas las medidas del Nivel Básico y Medio, pudiendo hacer seis grandes apartados que contemplarán los puntos más importantes de la Ley y reglamentos vigentes.

IbéricaMultimedia le ofrece un servicio de auditoría de seguridad, pues el Reglamento establece que los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa para:

  • Verificar el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.
  • Se establece también que el Informe de auditoría deberá dictaminar sobre el grado de adecuación y cumplimiento de las medidas de seguridad, identificar sus deficiencias y proponer las medidas correctoras necesarias.
  • También se establece la obligación de realizar una auditoría adicional cada 2 años, por personal propio o externo a la entidad, que esté debidamente cualificado y que deberá centrarse en la revisión de las Medidas de Seguridad implantadas y, que deben reunir todos los ficheros automatizados, los equipos informáticos locales y remotos, las instalaciones, los centros de tratamiento de datos y aplicaciones informáticas que traten, almacenen o procesen datos de carácter personal, así como en la revisión de los procedimientos, reglas y estándares organizativos y de seguridad, elaborados e implantados; elaborándose un Informe de Auditoría con el resultado de las deficiencias encontradas y las medidas correctoras propuestas, además de recogerse en el mismo documento todos los datos, hechos y observaciones en que se basen los dictámenes y recomendaciones propuestos.

En la realización de la Auditoría de Medidas de Seguridad para Ficheros Automatizados de Datos de Nivel Medio se analizarán, como mínimo:

  • Los medios y procedimientos de identificación y autenticación.
  • Control y registro de accesos, con determinación de perfiles de usuarios y privilegios.
  • Procedimientos de acceso y transmisión de datos a través de redes de telecomunicaciones.
  • Procedimiento de creación, conservación y borrado de ficheros temporales.
  • Procedimientos de Gestión y Notificación de Incidencias.
  • Procedimientos de realización de copias de respaldo y recuperación.
  • Procedimientos de Gestión y Distribución de soportes.
  • Procedimientos de cifrado de información sensible.
  • Procedimientos de borrado y destrucción de soportes.
  • Procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales.
  • Procedimientos de acceso, almacenamiento, conservación y destrucción de datos en formato papel.
  • Por último, establece el Reglamento que los Informes de Auditoría serán analizados por el responsable de seguridad, quien elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas, quedando dichos informes a disposición de la Agencia de Protección de Datos.