auditoría

IbéricaMultimedia le ofrece un servicio de auditoría, pues el Reglamento establece que los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

Además, se establece que el Informe de auditoría deberá dictaminar sobre el grado de adecuación y cumplimiento de las medidas de seguridad, identificar sus deficiencias y proponer las medidas correctoras necesarias.

Así, se establece la obligación de realizar una auditoría cada 2 años, por personal propio o externo a la entidad debidamente cualificado, que deberá centrarse en la revisión de las Medidas de Seguridad implantadas y que deben reunir los ficheros automatizados, los equipos, los locales, centros de tratamiento y aplicaciones informáticas que tratan datos de carácter personal, así como en la revisión de los procedimientos, reglas y estándares organizativos y de seguridad, elaborados e implantados; elaborándose un Informe de Auditoría con el resultado de las deficiencias encontradas y las medidas correctoras propuestas, además de recogerse en el mismo todos los datos, hechos y observaciones en que se basen los dictámenes y recomendaciones propuestos.

En la realización de una Auditoría de Medidas de Seguridad para Ficheros automatizados de datos de nivel medio se analizarán, como mínimo:

  • Los medios y procedimientos de identificación y autenticación.
  • Control y registro de accesos, con determinación de perfiles de usuarios y privilegios.
  • Procedimientos de acceso y transmisión de datos a través de redes de telecomunicaciones.
  • Procedimiento de creación, conservación y borrado de ficheros temporales.
  • Procedimientos de Gestión y Notificación de Incidencias.
  • Procedimientos de realización de copias de respaldo y recuperación.
  • Procedimientos de Gestión y Distribución de soportes.
  • Procedimientos de cifrado de información sensible.
  • Procedimientos de borrado y destrucción de soportes.
  • Procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales.
  • Procedimientos de acceso, almacenamiento, conservación y destrucción de datos en formato papel.
  • Por último, establece el Reglamento que los Informes de auditoría serán analizados por el responsable de seguridad, quien elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas, quedando dichos Informes a disposición de la Agencia de Protección de Datos.

Comments are closed.