MAB Ingenieros

mabingenieros

Desarrollo y Legalización de Proyectos de Ingeniería. Realización de proyecto técnico y memoria para la obtención de licencia de apertura.

Documento de seguridad

Documento de seguridad

de

{_responsable_del_fichero_}

OBJETO DEL DOCUMENTO

El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999 de 11 de Junio), recogen las medidas de índole técnica y organizativas necesarias para garantizar la protección, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.

El contenido principal de este Documento queda estructurado como sigue:

I. Ámbito de aplicación del documento.

II. Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en este documento.

III. Procedimiento general de información al personal.

IV. Funciones y obligaciones del personal.

V. Procedimiento de notificación, gestión y respuestas ante las incidencias.

VI. Procedimientos de revisión.

VII. Consecuencias del incumplimiento del Documento de Seguridad.

Anexo I. Aspectos específicos relativos a los diferentes ficheros.

Anexo II. Nombramientos

Anexo III. Autorizaciones firmadas para la entrada y salida de soportes o recuperación de datos

Anexo IV. Inventario de soportes

Anexo V. Registro de Incidencias

Anexo VI. Contratos o cláusulas de encargados de tratamiento.

Anexo VII. Auditorías informáticas.

Este Documento deberá mantenerse permanente actualizado. Cualquier modificación relevante en los sistemas de información automatizados o no, en la organización de los mismos, o en las disposiciones vigentes en materia de seguridad de los datos de carácter personal conllevará la revisión de la normativa incluida y, si procede, su modificación total o parcial.

CAPÍTULO I
ÁMBITO DE APLICACIÓN DEL DOCUMENTO

El presente documento será de aplicación a los ficheros que contienen datos de carácter personal que se hallan bajo la responsabilidad de {_responsable_del_fichero_}, incluyendo los sistemas de información, soportes y equipos empleados para el tratamiento de datos de carácter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente, las personas que intervienen en el tratamiento y los locales en los que se ubican.

Las medidas de seguridad se clasifican en tres niveles acumulativos (básico, medio y alto) atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.

Nivel básico: Se aplicarán a los ficheros con datos de carácter personal.

Nivel medio: Ficheros que contengan datos relativos a la comisión de infracciones administrativas o penales, Hacienda Pública, (en estos dos casos, deberán ser de titularidad pública), servicios financieros y los que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia y crédito).

Nivel alto: Ficheros que contengan datos de ideología, religión, creencias, origen racial, salud o vida sexual o los recabados para fines policiales sin consentimiento (en este último caso, también deberán ser de titularidad pública).

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicación del nivel de seguridad correspondiente, son los siguientes:

{_ficheros_niveles_}

En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.

CAPÍTULO II
MEDIDAS, NORMAS PROCEDIMIENTOS, REGLAS Y ESTÁNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

  • Medidas y normas relativas a la identificación y autenticación del personal autorizado a acceder a los datos personales

    • Si la aplicación informática que permite el acceso al Fichero no cuenta con un control de acceso, deberá ser el sistema operativo, donde se ejecuta esa aplicación, el que impida el acceso no autorizado, mediante el control de los citados códigos de usuario y contraseñas.

    • Los códigos de usuario serán asignados por el Responsable del Fichero.

    • La contraseña de cada código de usuario será asignada por el Usuario al que corresponda de forma que se garantice que sólo sea conocida por el mismo. Deberá constar de un mínimo de seis dígitos, contener letras y números y ser cambiada con una periodicidad mensual.

    • Cada usuario será responsable de la confidencialidad de su contraseña y, en caso de que la misma sea conocida fortuita o fraudulentamente por personas no autorizadas, deberá registrarlo como incidencia y proceder a su cambio.

    • Los códigos de usuario serán únicos para cada Usuario

    • En los ficheros {_ficheros_nivel_medio_y_alto_} la identificación de los usuarios se deberá realizar de forma inequívoca y personalizada, verificando su autorización. Asimismo, se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

  • Control de acceso

    El personal sólo accederá a aquellos datos y recursos que precise para el desarrollo de sus funciones.

    Exclusivamente el Responsable del Fichero está autorizado para conceder, alterar o anular el acceso autorizado sobre los datos y los recursos.

    El sistema informático deberá permitir o denegar el acceso a los datos según la identificación del usuario.

    En el Anexo I, se incluye la relación de usuarios actualizada con acceso autorizado a cada sistema de información. Asimismo, se incluye el tipo de acceso autorizado para cada uno de ellos. Esta lista se actualizará mediante anotación manuscrita en el citado Anexo inmediatamente se produzca la autorización.

  • Control de acceso físico

    1. Exclusivamente el personal que se indica a continuación, podrá tener acceso a los ordenadores donde se encuentren ubicados los sistemas de información correspondientes a {_ficheros_nivel_medio_y_alto_}.

      1. Responsable del Fichero

      2. Responsable de Seguridad

      3. Personal que realice tareas de mantenimiento para las cuales sea imprescindible el acceso físico siempre que estén bajo supervisión directa de uno de los dos anteriores.

    2. Puestos de trabajo

      Son todos aquellos dispositivos desde los cuales se puede acceder a los datos del Fichero, como, por ejemplo, terminales u ordenadores personales.

      Se consideran también puestos de trabajo aquellos terminales de administración del sistema, como, por ejemplo, las consolas de operación, donde en algunos casos también pueden aparecer los datos protegidos del Fichero.

      1. Cada puesto de trabajo estará bajo la responsabilidad de una persona de las autorizadas en el Anexo II, que garantizará que la información que muestra no pueda ser vista por personas no autorizadas.

      2. Esto implica que tanto las pantallas como las impresoras u otro tipo de dispositivos conectados al puesto de trabajo deberán estar físicamente ubicados en lugares que garanticen esa confidencialidad.

      3. Cuando el responsable de un puesto de trabajo lo abandone, bien temporalmente o bien al finalizar su turno de trabajo, deberá dejarlo en un estado que impida la visualización de los datos protegidos. Esto podrá realizarse a través de un protector de pantalla que impida la visualización de los datos. La reanudación del trabajo implicará la desactivación de la pantalla protectora con la introducción de la contraseña correspondiente.

      4. En el caso de las impresoras deberá asegurarse de que no quedan documentos impresos en la bandeja de salida que contengan datos protegidos. Si las impresoras son compartidas con otros usuarios no autorizados para acceder a los datos de Fichero, los responsables de cada puesto deberán retirar los documentos conforme vayan siendo impresos.

      5. Queda expresamente prohibida la conexión a redes o sistemas exteriores de los puestos de trabajo desde los que se realiza el acceso al fichero. La revocación de esta prohibición sera autorizada por el Responsable del Fichero, quedando constancia de esta modificación en el Libro de incidencias.

      6. Los puestos de trabajo desde los que se tiene acceso al fichero tendrán una configuración fija en sus aplicaciones, sistemas operativos que solo podrá ser cambiada bajo al autorización del Responsable de Seguridad o por administradores autorizados del Anexo II.

  • Registro de accesos

    En los accesos a los datos de los ficheros de nivel alto, {_ficheros_nivel_alto_} se registrará por cada acceso la identificación del Usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado. Si el acceso fue autorizado, se almacenará también la información que permita identificar el registro accedido.

    Los datos del registro de accesos se conservaran durante dos años.

    El Responsable de Seguridad revisará periódicamente la información de control registrada y elaborará un informe según se detalla en el Capítulo VI de este documento.

  • Gestión de soportes

    Los soportes que contengan datos de carácter personal deben ser etiquetados para permitir su identificación, inventariados y almacenados en {_lugar_acceso_restringido_soportes_}, lugar de acceso restringido al que solo tendrán acceso las personas con autorización que se relacionan a continuación:

    1. Responsable del Fichero

    2. Responsable de Seguridad

    3. En caso de urgencia que requiera el acceso físico de otro personal, se requerirá que se realice bajo supervisión directa de uno de los dos anteriores.

    Los soportes informáticos se almacenarán de acuerdo a las siguientes normas:

    • Los soportes que contengan datos del Fichero, bien como consecuencia de operaciones intermedias propias de la aplicación que los trata, o bien como consecuencia de procesos periódicos de respaldo o cualquier otra operación esporádica, deberán estar claramente identificados con una etiqueta externa que indique de qué fichero se trata, que tipo de datos contiene, proceso que los ha originado y fecha de creación.

    • Aquellos medios que sean reutilizables, y que hayan contenido copias de datos del Fichero, deberán ser borrados físicamente antes de su reutilización, de forma que los datos que contenían no sean recuperables.

    • Los soportes que contengan datos del Fichero deberán ser almacenados en lugares a lo que no tengan acceso personas no autorizadas para el uso del Fichero que no estén por tanto relacionadas en el Anexo II.

    • La salida de soportes informáticos que contengan datos del Fichero fuera de los locales donde está ubicado el Fichero deberá ser expresamente autorizada por el Responsable del Fichero, utilizando para ello el documento adjunto en el anexo III.

    • El Responsable del Fichero mantendrá un Libro de registro de entradas y salidas donde se guardarán los formularios de entradas y de salidas de soportes descritos en el anexo III, con indicación de tipo de soporte, fecha y hora, emisor, número de soportes, tipo de información que contienen, forma de envío, destinario, o persona responsable de la recepción que deberán estar debidamente autorizadas.

    • Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

    • La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

    • La salida de soportes informáticos que contengan datos de carácter personal, fuera de los locales en donde esté ubicado el sistema de información, únicamente puede ser autorizada por el Responsable del Fichero

    • Los ordenadores portátiles y el resto de dispositivos móviles que puedan contener datos personales y que de alguna forma se conecten al sistemma del fichero tendrán el mismo tratamiento que el resto de soportes aquí relacionados.

    En el Anexo III se incluirán los documentos de autorización relativos a la salida de soportes que contengan datos personales.

    Distribución cifrada de soportes

    La distribución y salida de soportes que contengan datos de carácter personal de los ficheros {_ficheros_nivel_alto_} se realizará cifrando los datos mediante sistemas de clave pública (PGP o firma electrónica) o, en caso de no poder usar esos mecanismos, usando una clave de un mínimo de 13 dígitos con cualquier sistema de cifrado probadamente seguro.

  • Acceso a datos a través de redes de comunicaciones

    Las medidas de seguridad exigibles a los accesos a los datos de carácter personal a través de redes de comunicaciones deberán garantizar un nivel de seguridad equivalente al correspondiente a los accesos en modo local.

  • Régimen de trabajo fuera de los locales de la ubicación del fichero

    La ejecución de tratamiento de datos de carácter personal fuera de los locales de la ubicación del fichero deberá ser autorizada expresamente por el Responsable del Fichero y, en todo caso, deberá garantizarse el nivel de seguridad correspondiente al tipo de fichero tratado.

    Deberá realizarse un contrato que estipulará las medidas de seguridad a las que se refiere el artículo 9 de la LOPD y que el encargado del tratamiento estará obligado a implementar. El original o una copia de ese contrato deberá ser incluída en el Anexo VI

  • Ficheros temporales

    Los ficheros temporales deberán cumplir el nivel de seguridad que les corresponda con arreglo a los criterios expresados en el Reglamento de Medidas de Seguridad, y serán borrados una vez que hayan dejado de ser necesarios para los fines que motivaron su creación.

  • Copias de seguridad

    Es obligatorio realizar copias de respaldo de los ficheros automatizados que contengan datos de carácter personal. Los procedimientos establecidos para las copias de respaldo y para su recuperación garantizarán su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida o destrucción.

    En el Anexo I se detallan los procedimientos de copia y recuperación de respaldo para cada fichero.

    Las recuperaciones de datos de los ficheros {_ficheros_nivel_medio_} deberán ser autorizadas por escrito por el Responsable del Fichero, según el procedimiento indicado en el Capítulo V.

    En los ficheros {_ficheros_nivel_alto_} se conservará una copia de respaldo y de los procedimientos de recuperación de los datos en {_lugar_externo_almacen_copia_}.

  • Responsable de Seguridad

    El Responsable del Fichero designará al Responsable de Seguridad, que con carácter general se encargará de coordinar y controlar las medidas definidas en este documento de seguridad.

    En ningún caso, la designación supone una delegación de la responsabilidad que corresponde al Responsable del Fichero como Responsable del Fichero de acuerdo con el Reglamento de Medidas de Seguridad.

    El Responsable de Seguridad desempeñará las funciones encomendadas durante el periodo de un año. Una vez transcurrido este plazo el Responsable del Fichero podrá nombrar al mismo Responsable de Seguridad o a otro diferente.

    En el Anexo II se encuentran las copias de los nombramientos de responsables de seguridad.

  • Pruebas con datos reales

    Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal, no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al fichero tratado.

  • Telecomunicaciones

    La transmisión de datos de carácter personal de los ficheros {_ficheros_nivel_alto_} por red, ya sea por medio de correo electrónico o mediante sistemas de transferencia de ficheros, se está convirtiendo en uno de los medios más utilizados para el envío de datos, hasta el punto de que está sustituyendo a los soportes físicos. Por ello merecen un tratamiento especial ya que, por sus características, pueden ser más vulnerables que los soportes físicos tradicionales.

    1. Todas las entradas y salidas de datos del Fichero que se efectúen mediante correo electrónico se realizarán desde una única cuenta o dirección de correo controlada por un usuario especialmente autorizado por el Responsable del Fichero. Igualmente si se realiza la entrada o salida de datos mediante sistemas de transferencia de ficheros por red, únicamente un usuario o administrador estará autorizado para realizar esas operaciones.

    2. Se guardarán copias de todos los correos electrónicos que involucren entradas o salidas de datos del Fichero, en directorios protegidos y bajo el control del responsable citado. Se mantendrán copias de esos correos durante al menos dos años. También se guardará durante un mínimo de dos años, en directorios protegidos, una copia de los ficheros recibidos o transmitidos por sistemas de transferencia de ficheros por red, junto con un registro de la fecha y hora en que se realizó la operación y el destino del fichero enviado.

    3. Cuando los datos del Fichero vayan a ser enviados por correo electrónico o por sistemas de transferencia de ficheros, a través de redes públicas o no protegidas, se recomienda que sean encriptados de forma que solo puedan ser leídos e interpretados por el destinatario.

    4. La transmisión de datos de carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

CAPÍTULO III
PROCEDIMIENTO GENERAL DE INFORMACIÓN AL PERSONAL

Las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información están definidas de forma general en el Capítulo siguiente y de forma específica para cada fichero en la parte del Anexo I correspondiente.

Para asegurar que todas las personas conocen las normas de seguridad que afectan al desarrollo de sus funciones, así como las consecuencias del incumplimiento de las mismas, se les dará a leer el presente documento de seguridad que permanecerá accesible para su lectura por los usuarios autorizados a los que se informará adecuadamente cada vez que se emita una nueva versión.

CAPÍTULO IV
FUNCIONES Y OBLIGACIONES DEL PERSONAL

  • Funciones y obligaciones de carácter general.

    Todo el personal que acceda a los datos de carácter personal está obligado a conocer y observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla.

    Constituye una obligación del personal notificar al Responsable del Fichero o de seguridad en su caso las incidencias de seguridad de las que tengan conocimiento respecto a los recursos protegidos, según los procedimientos establecidos en este Documento, y en concreto en su Capítulo V.

    Todas las personas deberán guardar el debido secreto y confidencialidad sobre los datos personales que conozcan en el desarrollo de su trabajo.

    Todo el personal con acceso al fichero debe estar adecuadamente relacionado en el Anexo II, inscrito en el lugar correspondiente a su categoría.

  • Funciones y obligaciones del personal, según su categoría:

    • Responsable del Fichero, es el encargado jurídicamente de la seguridad del fichero y de las medidas establecidas en el presente documento, implantará las medidas de seguridad establecidas en él y adoptará las medidas necesarias para que el personal afectado por este documento conozca las normas que afecten al desarrollo de sus funciones. Designará al responsable de seguridad

    • Responsable de Seguridad del Fichero cuyas funciones serán las de coordinar y controlar las medidas definidas en el documento, sirviendo al mismo tiempo de enlace con el Responsable del Fichero, sin que esto suponga en ningún caso una delegación de la responsabilidad que corresponde a éste último, de acuerdo con el R.D. 994/1999 de 11 de Junio.

    • Administradores del Sistema, encargados de administrar o mantener el entorno operativo del Fichero.

    • Usuarios del Fichero, o personal que usualmente utiliza el sistema informático de acceso al Fichero.

CAPÍTULO V
PROCEDIMIENTO DE NOTIFICACIÓN, GESTIÓN Y RESPUESTA ANTE LAS INCIDENCIAS.

Se considerarán como "incidencias de seguridad", entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, así como a cualquier anomalía que afecte o pueda afectar a la seguridad de los datos de carácter personal de {_responsable_del_fichero_}.

El responsable de seguridad habilitará un Libro de Incidencias a disposición de todos los usuarios y administradores del Fichero con el fin de que se registren en él cualquier incidencia que pueda suponer un peligro para la seguridad del mismo. Analizara las incidencias registradas, tomando las medidas oportunas en colaboración con el responsable del Fichero.

El registro de incidencias se gestionará mediante inscripción manuscrita en el Registro de Incidencias del Anexo V.

En el registro de incidencias se consignarán también los procedimientos de recuperación de datos que afecten a los ficheros {_ficheros_nivel_medio_y_alto_} mediante inscripción manuscrita en el Registro de Incidencias del Anexo V.

Para ejecutar los procedimientos de recuperación de datos en los ficheros mencionados en el párrafo anterior, será necesaria la autorización por escrito del Responsable del Fichero.

En el Anexo III se incluirán los documentos de autorización por parte del Responsable del Fichero relativos a la ejecución de procedimientos de recuperación de datos.

CAPÍTULO VI
PROCEDIMIENTOS DE REVISIÓN

  • Revisión del Documento de Seguridad.

    El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. Asimismo, deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.

    Cualquier cambio en este documento deberá ser comunicado adecuadamente al personal afectado.

  • Auditoría

    Al menos cada dos años, se realizará una auditoría, externa o interna que dictamine el correcto cumplimiento y la adecuación de las medidas del presente documento de seguridad o las exigencias del Reglamento de seguridad, identificando las deficiencias y proponiendo las medidas correctoras necesarias. Los informes de auditoría serán analizados por el responsable de seguridad, quien propondrá al responsable del Fichero las medidas correctoras correspondientes.

  • Informe mensual sobre "Log de accesos"

    Indicar los procedimientos para realizar el informe mensual sobre el registro de accesos a los datos de nivel alto regulado por el artículo 24 del Reglamento de Seguridad

CAPÍTULO VII
CONSECUENCIAS DEL INCUMPLIMIENTO DEL DOCUMENTO DE SEGURIDAD

El incumplimiento de las obligaciones y medidas de seguridad establecidas en el presente documento por el personal afectado, se sancionará conforme a la LOPD

ANEXO I {_fichero_ord_}
ASPECTOS RELATIVOS AL FICHERO {_fichero_nombre_}

  • Actualizado a: {_fecha_}

  • Nombre del fichero o tratamiento: {_fichero_nombre_}

  • Unidad/es con acceso al fichero o tratamiento: Responsable del Fichero, Responsable de Seguridad, Administradores del Sistema, Usuarios del Fichero.

  • Identificador y nombre del fichero en el Registro General de Protección de Datos de la Agencia Española de Protección de Datos:

    • Identificador: {_fichero_codigo_inscripción_RPGD_}

    • Nombre: {_fichero_nombre_}

    • Descripción: {_fichero_descripcion_}

  • Código Tipo Aplicable: {_fichero_codigo_tipo_32_LOPD_}

  • Estructura del fichero principal: {_fichero_estructura_}

  • Información sobre el fichero o tratamiento

    • Finalidad y usos previstos: {_fichero_finalidad_}

    • Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales: {_fichero_interesados_}

    • Cesiones previstas: {_fichero_cesiones_previstas_}

    • Transferencias Internacionales: {_fichero_transferencias_internacionales_}

    • Procedencia de los datos: {_fichero_origen_datos_}

    • Procedimiento de recogida: {_fichero_procedimiento_recogida_datos_}

    • Soporte utilizado para la recogida de datos: {_fichero_soporte_recogida_datos_}

  • Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificación, cancelación y oposición: {_fichero_rectificacion_}

  • Descripción del sistema de información: {_fichero_sistema_tratamiento_}

  • Descripción detallada de las copias de respaldo y de los procedimientos de recuperación:

    {_fichero_procedimiento_copia_recuperacion_}
  • Información sobre conexión con otros sistemas: {_fichero_relacion_otros_}

  • Funciones del personal con acceso a los datos personales: Las funciones y obligaciones del personal con acceso al fichero serán las reflejadas en el Capítulo IV de acuerdo con la categoría en la que conste inscrito en el Anexo II.

  • Relación actualizada de usuarios con acceso autorizado: Se relacionan en el Anexo II.

  • Terceros que acceden a los datos para la prestación de un servicio: Relacionados en el Anexo VI.

ANEXO II
PERSONAL AUTORIZADO

RESPONSABLE DEL FICHERO
Nombre y apellidosAltaBaja
   
   
   

RESPONSABLE DE SEGURIDAD
Nombre y apellidosAltaBaja
   
   
   

ADMINISTRADORES DEL SISTEMA
Nombre y apellidosAltaBaja
   
   
   
   
   

USUARIOS DEL FICHERO
Nombre y apellidosAltaBaja
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   
   

ANEXO III
AUTORIZACIONES DE ENTRADA O SALIDA DE SOPORTES O RECUPERACIÓN DE DATOS

Se recogen en este anexo las autorizaciones que el Responsable del Fichero ha firmado para la entrada y salida de soportes que contengan datos de carácter personal, así como aquellas relativas a la ejecución de los procedimientos de recuperación de datos, según lo indicado los artículos 20.1 y 20.2 del Reglamento de Seguridad.

 Entrada  Salida  Recuperación
Hoja Nº
Fecha y hora

SOPORTE
Identificación y tipo de soporte 
Contenido 
Ficheros de donde proceden los datos 
Fecha de creación 

ORIGEN o DESTINO Y FINALIDAD
Finalidad 
Origen o Destino 
Remitente o Destinatario 

FORMA DE ENVÍO
Medio de envío 
Remitente 
Precauciones para el transporte 

AUTORIZACIÓN
Persona responsable de la entrega 
Persona que autoriza 
Cargo / Puesto 
Observaciones



 
Firma 

ANEXO IV
INVENTARIO DE SOPORTES

Los soportes deberán permitir identificar el tipo de información, que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en este documento


Hoja Nº

IdentificaciónContenidoFecha AltaFecha BajaMétodo Baja
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     
     

ANEXO V
REGISTRO DE INCIDENCIAS.

Se el recoge en este anexo la información de incidencias, según lo indicado en el Capítulo V, “Procedimiento de notificación, gestión y respuesta ante las incidencias” de este documento

Hoja Nº

Impreso de notificación de incidencias
Incidencia Nº: |_______| (Este número será rellenado por el Responsable de seguridad)
Fecha de notificación: /__/__/____/
Tipo de incidencia:

Descripción detallada de la incidencia:



Fecha y hora en que se produjo la incidencia:
Persona(s) a quien(es) se comunica:

Efectos que puede producir: (En caso de no subsanación o incluso independientemente de ella)



Recuperación de Datos: (A rellenar sólo si la incidencia es de este tipo)
Procedimiento realizado:


Datos restaurados:


Datos grabados manualmente:


Persona que ejecutó el proceso:


Firma del Responsable del fichero:

Fdo.:
Persona que realiza la comunicación:

Fdo.:

ANEXO VI
ENCARGADOS DE TRATAMIENTO

Cuando el acceso de un tercero a los datos del Responsable del Fichero sea necesario para la prestación de un servicio a este último, no se considera que exista comunicación de datos. En este anexo se recogen los contratos que establecen expresamente que el encargado de tratamiento tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizara con fin distinto al que figure en dicho contrato, ni los comunicarán ni siquiera para su conservación a otras personas.

El contrato estipulará las medidas de seguridad a que se refiere el artículo 9 de la LOPD que el encargado del tratamiento está obligado a implementar

ANEXO VII
AUDITORÍAS INFORMÁTICAS.

Se el recogen en este anexo original o copia de las auditorías informáticas realizadas, según lo indicado en el Capítulo VI, “Procedimientos revisión” de este documento

Hoja Nº
Fecha

Controles básicos
Existencia documento seguridadSI
Personal informado de sus funciones y obligaciones (1) 
Estructura de los ficheros relacionados en Anexo I se corresponde con los ficheros reales 
REGISTROS (Verificar existencia y actualización)
Registro de personal autorizado 
Registro de entrada y salida de soportes o recuperación de datos 
Inventario de soportes 
Registro de Incidencias 
Contratos o cláusulas de encargados de tratamiento 
Medidas de seguridad genéricas (Comprobar en todos los equipos con acceso a datos)
Antivirus instalado, correctamente configurado y actualizado 
Cortafuegos instalado, correctamente configurado y actualizado 
Sin acceso a internet o con acceso a internet adecuadamente protegido 
Copias de respaldo
El responsable conoce la forma adecuada de realizar copias de respaldo 
Los soportes están adecuadamente etiquetados 
El contenido de los soportes se corresponde con su etiqueta (1) 
Los soportes se almacenan en el sitio indicado en el presente documento 
Los soportes existentes evidencian que se están realizando las copias con la periodicidad exigida 
Identificación de usuarios
Cada usuario tiene un identificador único 
Los usuarios conocen la forma de cambiar su clave de forma que se cumplan los requisitos exigidos en este documento 
Observaciones (En caso de espacio insuficiente, se anotarán al dorso de la presente hoja)





VERIFICADO POR
Nombre 
Cargo/Titulación 

(1) Por imposibilidad material de verificar todos los elementos, se realizará un muestreo al azar

QR Code