(OBLIGACIONES de las empresas, administraciones públicas y entidades).
Obligaciones generales del responsable y del encargado del tratamiento.
El REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
El responsable del tratamiento aplicará mecanismos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar un sistema de gestión de seguridad de la información, que reporte a su estado de avance.
El ENS (obligatorio para las administraciones públicas) y la norma UNE-EN ISO/IEC 27002, contienen dominios de seguridad de la información con objetivos de control y controles.
La selección de los controles depende de las decisiones de carácter organizativo basadas en los criterios de aceptación del riesgo, las opciones de tratamiento del riesgo y de los enfoques generales de gestión del riesgo aplicados en la organización, y debería depender también de toda la legislación y reglamentación nacional e internacional aplicable. La selección de los controles también depende del modo en que los controles interactúan para proporcionar una protección en profundidad.
Dentro de las actividades a seguir, después de la selección de los controles de seguridad, se procede a crear el plan de tratamiento de riesgos, esto con la finalidad de definir las actividades necesarias para la aplicación de los controles de seguridad.
Contacto:
