|
|
|
|
|
|
|
|
|
|
|
En este apartado encontrara de forma detallada las distintas fases del proceso de adaptación a la LOPD.Todos los procedimientos utilizados en este proceso de adaptación están basados en el Código de Buenas Practicas de Seguridad Informática establecidos en la Norma UNE-ISO/IEC 17799:2002.
|
 |
|
|
|
|
| |
|
|
La siguiente fase, viene determinada por el desarrollo del Documento de Seguridad, basado en el artículo 88, del Reglamento de desarrollo de la Ley Orgánica 15/1999. Las actuaciones de carácter único que se llevan a cabo con respecto a la elaboración del mismo, y que son las siguientes:
El siguiente proceso, a realizar es la revisión del conjunto de medidas de seguridad de la organización, considerando como fundamentales la política de gestión de contraseñas de autentificación y reconocimiento, los controles de acceso, la gestión e identificación de soportes, el procedimiento en torno a las copias de seguridad, así como aspectos relacionados con pruebas, cifrados y otras particularidades.
A su vez se realiza un control de todos los equipos de sobremesa, portátiles, servidores, impresoras y cualquier otro dispositivo relacionado con el almacenamiento de datos en cualquiera de sus fases y se detallan las aplicaciones concretas por puesto de trabajo y el grado de acceso a cada una de ellas.
R.D 1720/2007- Artículo 96.Auditoria.
1.-A partir del nivel medio, los sistemas de información e instalaciones de tratamiento de almacenamiento de datos se someterán, al menos cada dos años, a una auditoria interna o externa que verifique el cumplimiento del presente titulo.
Se desarrollan, de forma personalizada a la organización los procedimientos relativos a:
I.- Gestión de derechos ARCO (Acceso, Rectificación, Cancelación y Oposición).(r.d 1720/2007 art 28,32 y 35)
II.-Gestión de Soportes. (RD 1720/2007 art 92)
III.-Gestión de Incidencias. (RD 1720/2007 art 90)
IV.-Procedimientos de Alta, Baja y Modificación de Usuarios con acceso a datos de carácter personal. (RD 1720/2007 art 91)
V.-Procedimientos de Copia de Seguridad y Restauración. (RD 1720/2007 art 94)
VI.-Definición de la política de identificación y autentificación. (RD 1720/2007 art 93)
VII.-Identificación del responsable de seguridad (RD 1720/2007 art 95)
VIII.-Procedimiento de revisión del documento de seguridad (RD 1720/2007 art 88.7)
A continuación se realiza el nombramiento del Responsable de Seguridad y se aportan los contenidos necesarios para el optimo cumplimiento de sus funciones, a su vez se detallan las obligaciones del personal encargado del tratamiento de datos, y si fuese preciso se detallan los ficheros para los cuales se nombrara Encargados de Tratamiento y los aspectos concernientes a los mismos.
Atendiendo a las necesidades y a la información recogida, se procede a crear los ficheros pertinentes, siendo la información estructurada de la siguiente forma:
Estructura
Información de usos, accesos, procedencia, transferencias...
Accesos por parte de las unidades
Sistemas de Información
Control copias
Interconexiones
Funciones del personal
Relación de usuarios autorizados
La siguiente fase consistirá en la adecuación de contratos entre la empresa y los trabajadores con acceso a información de tal forma que quedan recogidas las cláusulas de deber de secreto y advertencia del incumplimiento de este, a su vez se desarrolla un documento en la misma línea pero destinado a los proveedores externos que procesan datos de carácter personal de la organización.
Finalmente se redactaran las cláusulas, circulares y textos legales necesarios para comunicar diversos aspectos referentes al cumplimiento de la LOPD.
LOPD 15/1999-Artículo 12.acceso a los datos por cuenta de terceros
2.-La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración o contenido.
Con toda la información extraída y analizada, se concluye en la emisión de un Documento de Seguridad, que recoge todos los puntos anteriormente tratados y que servirá como elemento auditable por parte de la Agencia Española de Protección de Datos si así fuera necesario.
A su vez se procede a proponer en colaboración con el responsable técnico de la organización las medidas correctivas necesarias para la adaptación técnica y que garanticen la seguridad de los datos de carácter personal procesados por su organización.
|
|
|
|
|
| |
|
|
|
|
| |
|
|
E&K Pro, propone un servicio adicional de mantenimiento con el fin de mantener actualizado el Documento de Seguridad ante cualquier cambio relevante en el sistema de organización o información del mismo, adecuándolo a su vez a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.
En este paquete de mantenimiento periódico se incluye la gestión ejecutiva de los derechos de acceso, rectificación, cancelación y oposición.
Igualmente, dispondrá de acceso a la zona de clientes de la página www.ekpro.es, desde donde podrá consultar su documento de seguridad o cualquier otro documento de utilidad.
En el caso de aplicación de medidas de nivel medio o alto, el Reglamento determina que cada dos años, la organización deberá someterse a una auditoria en la que se dictamine sobre la adecuación de las medidas de seguridad y controles utilizados, se identifiquen las deficiencias y se propongan medidas correctoras o complementarias.
Como empresa u organización que ha realizado la implantación a través de E&K Pro, tendrá derecho a la utilización del sello "LOPD Activa", que sirve como referente en sus comunicaciones del grado de cumplimiento de las obligaciones derivadas de la citada Ley.
|
|
|
|
|
|
|
|
|
|
|
|
| | |
|
|
|
|
|