Nivel Seguridad Básico

 

• Disponer del Documento de Seguridad donde se deberá reflejar:

 

1. El ámbito de aplicación.

 

2. Las medidas, normas, procedimientos y estándares de seguridad.

 

3. Funciones y obligaciones del personal.

 

4. Estructura y descripción de ficheros y sistemas de información.

 

5. Procedimiento de notificación, gestión y respuesta ante incidencias.

 

6. Procedimiento de realización de Copias de Respaldo y recuperación de datos.

 

• Definir y establecer las funciones y obligaciones del personal de la empresa.

 

• Habilitar y gestionar el registro de incidencias a disposición de todos los usuarios, con el fin de que registren las anomalías que se pudieran presentar con respecto a la seguridad de los datos.

 

• Establecer procedimientos de asignación y gestión de contraseñas así como los periodos en que se modificarán. Las contraseñas estarán almacenadas con un formato ininteligible.

 

• Mantener una relación actualizada de usuarios y los accesos autorizados de cada uno de ellos.

 

• Cada usuario accederá únicamente a los datos y recursos necesarios para el desarrollo de sus funciones. La concesión de permisos será dada por personal autorizado para ello.

 

• Mantener el Registro de Soportes para identificar, registrar y almacenar todos los Soportes que contengan Datos de Carácter Personal.

 

• Habilitar el modelo de autorización para Salida de Soportes.

 

• Establecer procedimientos para realizar Copias de Seguridad de la información que se maneja, de tal forma que se pueda garantizar la reconstrucción de los datos en el estado en que se encontraban en el momento de producirse la pérdida o destrucción de los mismos. Las Copias de Seguridad se deberán hacer, al menos, semanalmente.

 

• El archivo de los documentos no automatizados debe realizarse según criterios que faciliten su consulta y localización para garantizar el ejercicio de los derechos ARCO.

 

• Los dispositivos de almacenamiento de ficheros no automatizados, deberán estar dotados de mecanismos que obstaculicen su apertura. Durante la revisión o tramitación de los mismos, la persona a cargo, deber ser diligente y custodiar la documentación para evitar accesos no autorizados.

Nivel de Seguridad Medio

 

• Además del contenido específico para el Documento de Seguridad de Nivel Básico, deberá especificarse:

 

1. Identificación del/los Responsable/s de Seguridad.

 

2. Control periódico del cumplimiento del documento.

 

3. Medidas a adoptar en caso de tener que reutilizar o desechar soportes.

 

• Control de acceso físico a los locales donde se encuentren ubicados los Sistemas de Información.

 

• Mantener un registro de Entrada y Salida de Soportes.

 

• Establecer medidas que impidan la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado.

 

• Realizar una auditoría cada 2 años, interna o externa.

Nivel de Seguridad Alto

 

• Además de las medidas establecidas para el nivel medio.

 

• Proceder al cifrado de datos en la distribución de soportes.

 

• Mantener Copias de Seguridad en un lugar diferente del que se encuentren los equipos.

 

• Mantener un registro de usuarios, hora, fichero, tipo de acceso y registro accedido. El control de accesos se deberá mantener al menos durante 2 años.

 

• Realizar transmisiones cifradas de datos.

 

• Control de accesos autorizados a ficheros no automatizados e identificación de accesos para documentos accesibles por múltiples usuarios.

 

• Almacenamiento de la documentación no automatizada en áreas (armarios, archivadores...) con acceso protegido con puertas con llave.

 

• La copia o reproducción de ficheros no automatizados solamente por personal autorizado.

 

• Se deben establecer medidas adicionales que impidan el acceso o manipulación de los datos durante el traslado de los mismos.