Volver

Auditoría
auditoria

El artículo 96 de la LOPD establece la necesidad de una auditoría de las medidas de seguridad aplicadas a los ficheros clasificados como nivel medio y/o alto de seguridad.


A partir de este nivel la auditoria debe realizarse al menos, cada dos años y certificar la idoneidad de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos.


Los informes se entregan al responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o de las autoridades de control de las comunidades autónomas.


En función de la naturaleza de los datos y el calendario, las acciones de la auditoría se pueden resumir:

Medidas de Nivel Básico

El análisis comprende la verificación de la categoría de protección de los ficheros, además comprobar que se realizan correctamente de otras tareas como son:

  • Ficheros y niveles asignados.
  • Acceso a datos a través de redes de comunicaciones.
  • Régimen de trabajo fuera del espacio físico donde se encuentra el fichero.
  • Ficheros temporales.
  • Documento de seguridad.
  • Funciones y Obligaciones del personal.
  • Registro de Incidencias.
  • Identificación y autenticación ante los sistemas.
  • El control de acceso a los datos y recursos.
  • Soportes que contengan datos de carácter personal.
  • Copias de respaldo.
  • Dispositivos de almacenamiento.
  • Procedimiento de custodia de documentos.
  • Procedimiento y los criterios de archivo adoptados por la organización.
Medidas de Nivel Medio

Hasta aquí se han recogido los puntos que deben cumplir los ficheros de nivel básico, que no están sujetos a auditoría, pero que deben cumplir también los ficheros de nivel medio, que sí están sujetos a auditoría. La revisión de procedimientos y soporte para los ficheros de nivel medio, comprende:

  • Contenido del documento de seguridad.
  • Responsables de seguridad. Controlar las medidas definidas en el documento de seguridad.
  • Identificación de todo aquel usuario que intente acceder al sistema de información.
  • Accesos físicos a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.
  • Sistema de registro de entrada y salida de soportes informáticos.
Medidas de Nivel Alto

Hasta aquí las verificaciones relativas a los ficheros de nivel medio; en el control en los procedimientos para la gestión de información clasificada de nivel alto además de los niveles básico y medio, se verificará lo siguiente:

  • Cifrado de datos en la distribución de soportes.
  • Control del registro de accesos.
  • También se verificará los mecanismos que permiten el registro de los datos.
  • Asimismo, que los datos registrados se conservan al menos dos años.
  • Respecto a las copias de respaldo y la recuperación, ya mencionadas, en el caso de nivel alto se verificará que se conserva una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquél en que se encuentren los equipos informáticos que los tratan, y que se cumplen las medidas de seguridad indicadas en el Reglamento.
  • También se verificará que la transmisión de datos de carácter personal a través de redes de telecomunicaciones se realiza cifrando dichos datos.
  • En relación al almacenamiento de la documentación, se verificará la existencia y condiciones de seguridad de las áreas dónde se almacene la documentación.
Elaboración del Informe de Auditoria de Seguridad

Este informe refleja de manera detallada el cumplimiento y la adecuación de los procedimientos de la empresa a los requerimientos de la LOPD. Identificación de deficiencias y propuesta de medidas correctoras.

Siguenos en:  
RapidSSL

Avda. Juan Pablo II, 64 B Bajo, 18013, Granada  |  958 999 202  |  Fax: 900 101 528  |  info@dgdatos.es

© CENTRO DE FORMACIÓN DICA 2018  | AVISO LEGAL  | CONTACTO  |  POLÍTICA DE PRIVACIDAD  |  POLÍTICA DE COOKIES