Organización.Tratamiento de datos.Personas.

Organización.

Analizar los riesgos y aplicar soluciones.

Read More

Tratamiento de datos.

Leyes y tecnología en la estrategia, cultura, procesos.

Read More

Personas.

Un activo a sensibilizar.

Read More

info@asegurdat.com
+ 34 93 270 13 86

Audit

El objetivo de la auditoría es verificar que cada regla de la política de seguridad para el tratamiento de datos, se aplique correctamente y que todas las medidas tomadas conformen un todo coherente, garantizando que los conjuntos de disposiciones tomadas por la empresa se consideren seguras.

La Ley Orgánica 15/1999, de 13 de diciembre y el Real Decreto 1720/2007, de 21 de diciembre de Protección de datos de carácter personal, obliga a realizar una auditoría al menos bienal, si los sistemas de información e instalaciones de tratamientos contienen datos calificados de nivel medio y/o alto.

La auditoría de protección de datos conlleva un estudio legal, técnico y organizativo que se lleva a cabo por un auditor experto en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de datos de carácter personal.

Es importante que tenga la certeza de que quien le audita es realmente un profesional en materia de protección de datos (Organización, Legal, TIC), y añade conocimiento de sentencias de los tribunales y resoluciones de las diversas Agencias/Autoridades de protección de datos.

El nuevo Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, especifica las obligaciones generales de los responsables y de quienes tratan los datos personales en su nombre (encargados del tratamiento). Entre esas obligaciones se cuenta la de aplicar medidas de seguridad adecuadas en función del riesgo derivado de las operaciones de tratamiento de datos que realicen (método basado en el riesgo). Los responsables deberán también en ciertos casos notificar las violaciones de datos personales. Todas las autoridades públicas y las empresas que proceden a determinadas operaciones arriesgadas de datos deberán también nombrar un delegado de protección de datos.

La auditoría bienal LOPD, analiza la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identifica las deficiencias y propondrá las medidas correctoras o complementarias necesarias.

Los informes de auditoría han de ser analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras y quedará a disposición de la Agencia/Autoridades de Protección de Datos.

La seguridad de los sistemas de información de una organización será auditada en los siguientes términos:

a) Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información.

b) Que existen procedimientos para resolución de conflictos entre dichos responsables.

c) Que se han designado personas para dichos roles a la luz del principio de «separación de funciones».

d) Que se ha realizado un análisis de riesgos, con revisión y aprobación anual.

e) Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso.

f) Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.

La auditoría se basará en la existencia de evidencias que permitan sustentar objetivamente el cumplimiento de los puntos mencionados:

a) Documentación de los procedimientos.

b) Registro de incidencias.

c) Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

Un posible método puede ser:

1.    Plan de proyecto.

2.    Inspección visual centros de tratamiento.

3.    Registro de actividades o Ficheros, estructura y contenido.

4.    Documento de Seguridad de Datos.

5.    Procesos y procedimientos específicos (controles, incidencias, copias de seguridad, borrado de soportes, ARCO, etc.).

6.    Auditorías anteriores (si las hubiese).

7.    Seguridad física y lógica de los sistemas de información.

8.    Relación de usuarios, accesos autorizados y sus funciones.

9.    Inventario de activos.

10. Registro de entrada y salida de soportes.

11. Registros de acceso.

12. Entrevistas a usuarios y responsables.

13. Formularios de recogida de datos.

14. Contratos.

15. Concienciación del personal sobre la LOPD, LSSI, ….

Redacción y confección del informe de auditoría, con la declaración del estado y riesgo de cada uno de los puntos tratados, así como la propuesta de los de las medidas de seguridad requeridas.

El informe de auditoría y el plan de acción, queda a disposición de la AEPD.

Contacte cuando desee.

+34.93.270.13.86 (fijo y móvil).

consulta@asegurdat.com

45ticll

//

Leyes

Su entidad conoce las obligaciones legales respecto al tratamiento de datos personales y por tanto las responsabilidades que deben asumir los Presidentes, Directores, Gerentes, etc., llamados Responsables de tratamiento de […]

Read More
Organizar

Las leyes vigentes en protección de datos personales regulan un aspecto esencial para la tutela del derecho fundamental a la protección de datos, la seguridad, que repercute sobre múltiples aspectos […]

Read More
RR.HH.

El tratamiento de datos de carácter personal, en el ámbito de los recursos humanos, tiene dos ámbitos obligados que debe cumplir el personal que participa en dicho tratamiento, deber de […]

Read More
Tecnología

La tecnología de la información y la comunicación (TIC), forma parte del activo de la entidad. La transformación digital ha hecho que buena parte de las actividades que antes se […]

Read More