Medidas de seguridad de nivel básico:
- Elaboración del Documento de Seguridad
- Plan de incidencias y registro de las mismas
- Identificación y autentificación de los usuarios
- Control de accesos
- Gestión de soportes
- Protocolos de copias de seguridad
Registro de incidencias:
Debe existir un procedimiento de notificación y gestión para las incidencias y establecer un registro en el que conste el tipo de incidencias, momentos, personas que realiza la notificación, a quien se le comunica, efectos derivados de la misma y medidas correctoras aplicadas para su solución.
Identificación y autentificación:
El responsable del fichero adoptara las medidas que garanticen la correcta identificación de los usuario. Estableciendo un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel que intente acceder al sistema de información y verificar que este usuario esté´autorizado. Cuando el mecanismo de autentificacion se base en contraseñas existirá un procedimiento para garantizar la asignación, distribución y almacenamiento para garantizar su confidencialidad e integración.
Control de acceso:
Cada usuario o perfil tendrá acceso únicamente a los datos que precise para el desarrollo de sus funciones. El responsable del fichero es el encargado de que esté actualizada la relación de usuarios o perfiles y los accesos autorizados para cada uno de ellos. También es función del responsable del fichero evitar que un usuario acceda a recursos no autorizados. En el Documento de la seguridad se concede, altera o anula el acceso a los datos según el criterio del responsable del fichero. Si hubiera personas ajenas al responsable del fichero que tuviese acceso a los recursos deben estar sometidos a las mismas condiciones y obligaciones de que el personal propio.
Copias de respaldo y recuperación:
Se debe establecer el procedimiento de actuación para la realización semanal de copias de seguridad, se puede alargar la realización de la copia de respaldo cuando no se han hecho cambios en la información.
También se establecerá procedimientos para la recuperación de la información garantizando la reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.
El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de la información de datos personales.
Si está previsto realizar pruebas con datos personales reales para la implantación o modificación de procesos se deberá realizar una copia de seguridad antes de la prueba y anotarlo debidamente en el documento de seguridad.
No hay comentarios:
Publicar un comentario