ANEXO VII
AUDITORÍA INFORMÁTICA.
Hoja Nº
Fecha
ASPECTOS GENERALES
¿La clasificación del nivel de seguridad es adecuada respecto a la naturaleza de la información contenida en cada uno de los ficheros y su finalidad?
¿Se han creado, modificado o suprimido ficheros con datos de carácter personal desde la última auditoría?
ENCARGADO DE TRATAMIENTO
¿Se realiza el tratamiento por persona distinta al responsable del fichero?
¿Se ha formalizado mediante contrato conforme lo establecido el artículo 12 de la LOPD?
Si la realización de este encargo se realiza en los locales del responsable:
¿Se ha hecho constar esta circunstancia en el Documento de Seguridad?
¿Consta por escrito en el contrato el compromiso del personal del encargado de tratamiento respecto al cumplimiento de las medidas de seguridad recogidas en el Documento de Seguridad del responsable?
Cuando el tratamiento se realiza mediante acceso remoto a los sistemas del responsable:
¿Se le ha prohibido al encargado de tratamiento la incorporación de los datos a sistemas o soportes distintos de los del responsable?
¿Se ha hecho constar tal circunstancia en el Documento de Seguridad del responsable?
Si la prestación se hace en locales propios del encargado de tratamiento (distintos de los del responsable):
¿Ha elaborado el encargado el documento de seguridad?
¿Identifica el fichero o tratamiento y el responsable del mismo?
¿Detalla las medidas de seguridad a implementar en relación con su tratamiento?
PRESTACIÓN DE SERVICIO SIN ACCESO A DATOS PERSONALES
Si el tratamiento no afecta a datos personales ¿se han adoptado las medidas necesarias para limitar el acceso del personal a los datos personales, soportes y recursos?
Si se trata de personal ajeno ¿recoge el contrato la prohibición expresa de acceder a los datos personales, así como la obligación de secreto respecto a los datos que hubieran podido conocer con motivo de la prestación de servicio?
DELEGACIÓN DE AUTORIZACIONES
¿Se han delegado las autorizaciones que el Reglamento atribuye al responsable en otras personas?
¿Se ha hecho constar en el Documento de Seguridad las personas habilitadas para otorgar estas autorizaciones y las personas en quienes recae dicha delegación?
RÉGIMEN DE TRABAJO FUERA DE LOS LOCALES DE LA UBICACIÓN DEL FICHERO
El almacenamiento de datos personales en dispositivos portátiles o los tratamientos fuera de los locales del responsable o del encargado:
¿Han sido autorizados expresamente por el responsable del fichero?,
¿Consta dicha autorización en el Documento de Seguridad?
¿Se garantiza el nivel de seguridad correspondiente al tipo de fichero tratado?
FICHEROS TEMPORALES O COPIAS DE TRABAJO DE DOCUMENTOS
¿Cumplen el nivel de seguridad correspondiente?
¿Se han destruido o borrado cuando ya no han sido necesarios para los fines que motivaron su creación?
DOCUMENTO DE SEGURIDAD
¿Ha elaborado el responsable del fichero el Documento de Seguridad?
¿Contiene los aspectos mínimos exigidos por el Reglamento?
¿Está el documento actualizado?
¿Se ha revisado cuando se han producido cambios relevantes desde la auditoría anterior?
¿Está su contenido adecuado a la normativa vigente en este momento en materia de seguridad de los datos de carácter personal?
¿Se ha indicado con qué periodicidad se deben cambiar las contraseñas?
¿Es inferior o igual a un año?
¿Se especifica cuál es el personal autorizado para la concesión, alteración o anulación de accesos autorizados sobre datos o recursos?
¿Se especifica cuál es el personal autorizado para acceder a los lugares donde se almacenan los soportes informáticos?
Si el tratamiento se realiza por cuenta de terceros ¿se han reflejado los ficheros afectados por el encargo, con referencia expresa al contrato, así como la identificación del responsable y el periodo de vigencia?
¿Se ha reflejado en el Documento de Seguridad si los datos personales se incorporan y tratan exclusivamente en los sistemas del encargado?
¿Se ha delegado en el encargado del tratamiento la llevanza del Documento de Seguridad para los ficheros objeto del contrato?
¿se ha reflejado esta circunstancia en el contrato?
¿Establece la identidad del responsable o responsables de seguridad?
¿Se especifica si la designación es única para todos los ficheros o está diferenciada según el sistema de tratamiento utilizado?
¿Contiene los procedimientos y controles periódicos a realizar para verificar el cumplimento de lo dispuesto en el propio documento?
¿Especifica qué medidas hay que adoptar en caso de desechado o reutilización de soportes?
¿Relaciona las personas que están autorizadas a acceder físicamente a los locales donde se ubican los sistemas de información?
FUNCIONES Y OBLIGACIONES DEL PERSONAL
Están las funciones y obligaciones del personal con acceso a datos de carácter personal y los sistemas de información claramente definidos?
¿Están documentadas y reflejadas en el documento de seguridad?
¿Se han definido las funciones de control o autorizaciones delegadas por el responsable del fichero?
¿Conoce el personal las medidas de seguridad que afectan al desarrollo de sus funciones?
¿Conoce las consecuencias de su incumplimiento?
REGISTRO DE INCIDENCIAS
¿Existe un procedimiento de notificación y gestión de incidencias de seguridad?
¿El procedimiento está bien diseñado y es eficaz?
¿Conoce todo el personal afectado dicho procedimiento?
¿Existe un registro de incidencias donde se reflejen todos los datos exigidos en el Reglamento?
¿Se han registrado todas las incidencias ocurridas?
¿Se revisa periódicamente el registro de incidencias para su análisis y adopción de medidas correctoras de las incidencias anotadas?
¿Se han anotado las ejecuciones de los procedimientos de recuperación de datos realizados?
¿Figuran en estas anotaciones los datos exigidos por el Reglamento?
¿Existe la autorización por escrito del responsable del fichero?
CONTROL DE ACCESO
¿Los accesos autorizados de los usuarios se corresponden exclusivamente a los datos y recursos que precisan para el desarrollo de sus funciones?
¿Existen mecanismos que impidan que los usuarios accedan a datos o recursos distintos de los autorizados?
Relación de usuarios:
¿Existe una relación de usuarios?
¿Especifica qué datos y recursos tiene autorizados para cada uno de ellos?
¿Está actualizada?
¿La concesión, alteración o anulación de accesos autorizados sobre datos y recursos la realiza exclusivamente el personal autorizado para ello en el Documento de Seguridad?
¿Ha establecido el responsable del fichero los criterios conforme a los cuales se otorga la autorización de los accesos a los datos y a los recursos?
El personal ajeno al responsable que tiene acceso a los datos y recursos de éste ¿se encuentra sometido a las mismas condiciones y obligaciones que el personal propio?
¿El acceso a los locales donde se encuentran ubicados los sistemas de información se realiza exclusivamente por el personal autorizado en el Documento de Seguridad?
¿Se encuentran los archivadores u otros elementos de almacenamiento en áreas de acceso restringido dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente?
¿Están cerradas estas áreas mientras no sea preciso el acceso a los documentos incluidos en el fichero?
Si los locales del responsable no permiten disponer de un área de acceso restringido:
¿Ha adoptado el responsable medidas alternativas?
¿Se ha hecho constar esta circunstancia en el Documento de Seguridad?
¿Se ha motivado adecuadamente?
GESTION DE SOPORTES Y DOCUMENTOS
¿Está identificado el tipo de información contenido en el soporte o documento?
¿Existe y se mantiene un inventario de soportes?
¿Se almacenan los soportes o documentos en lugares de acceso restringido?
¿Existen mecanismos por los que solamente puedan acceder las personas autorizadas en el Documento de Seguridad?
¿Funcionan adecuadamente estos mecanismos?
¿Se ha dejado constancia en el Documento de Seguridad, si fuera el caso, de la imposibilidad de cumplir con las obligaciones establecidas en el Reglamento sobre identificación, inventariado y acceso a los soportes dadas sus características físicas?
¿La salida de soportes y documentos fuera de los locales donde se ubica el fichero está siendo autorizada por el responsable del fichero o está debidamente autorizada en el Documento de Seguridad?
¿Se están tomando las medidas adecuadas en el traslado de documentación para evitar la sustracción, perdida o acceso indebido durante su transporte?
Cuando se desecha un soporte o documento conteniendo datos de carácter personal:
¿Se adoptan las medidas adecuadas para evitar el acceso a la información o su recuperación posterior cuando se procede a su destrucción o borrado?
¿Son adecuadas estas medidas?
¿Se dan de baja en el inventario estos soportes o documentos desechados?
Para los soportes con datos de carácter personal considerados especialmente sensibles por la organización:
¿Se utilizan sistemas de etiquetado que permitan la identificación de su contenido a las personas autorizadas y dificulten su identificación al resto?
¿Son adecuados y cumplen su finalidad?
¿Existe un registro de entrada de soportes o documentos?
¿Existe un registro de salida?
¿Contienen estos registros de entrada y salida de soportes toda la información exigida en el Reglamento?
¿Las personas encargadas de la recepción y la entrega de soportes están debidamente autorizadas?
¿Consta en el Documento de Seguridad dicha autorización?
¿Se han anotado todas las entradas y salidas de soportes?
¿Se utilizan sistemas de etiquetado que permitan la identificación de su contenido a las personas autorizadas y dificulten su identificación al resto?
¿Son adecuados y cumplen su finalidad?
¿La distribución de soportes se realiza de forma cifrada, o por otro mecanismo que garantice que no sea inteligible o manipulable durante el transporte?
¿Se cifran los datos en los dispositivos portátiles cuando éstos salen de las instalaciones del responsable del fichero?
Si fuera imprescindible el tratamiento de datos en dispositivos portátiles que no permitan el cifrado de datos ¿se ha hecho constar motivadamente en el Documento de Seguridad?, ¿se han adoptado medidas para minimizar los riesgos derivados de este tratamiento en entornos desprotegidos?, ¿son adecuadas?
¿Se adoptan medidas que impidan el acceso o manipulación de la información en los casos de traslado físico de la documentación contenida en un fichero?
¿Son apropiadas estas medidas?
La generación de copias o reproducción de documentos ¿se realiza exclusivamente por el personal autorizado en el Documento de Seguridad?
¿Se destruyen las copias o reproducciones desechadas de forma que no se pueda acceder a la información contenida en las mismas?
IDENTIFICACIÓN Y AUTENTICACIÓN
¿Existe una relación de usuarios con acceso autorizado?
¿Se mantiene actualizada?
¿Existen procedimientos de identificación y autenticación para dicho acceso?
¿Garantiza la correcta identificación del usuario?
El mecanismo de acceso y verificación de autorización de los usuarios ¿les identifica de forma inequívoca y personalizada?
¿Existe un procedimiento de asignación, distribución y almacenamiento de contraseñas?
¿Garantiza su confidencialidad e integridad?
¿Se cambian las contraseñas con la periodicidad establecida en el documento de seguridad?
¿Se almacenan las contraseñas de forma ininteligible mientras están en vigor?
¿Se limita el intento reiterado de acceso no autorizado al sistema?,
¿se anotan estos intentos en el registro de incidencias?
COPIAS DE RESPALDO Y RECUPERACIÓN
¿El responsable del fichero ha definido los procedimientos de realización de copias de respaldo y recuperación de los datos?
¿Es adecuada esta definición?
¿Están reflejados estos procedimientos en el Documento de Seguridad?
¿Ha verificado el responsable del fichero la correcta aplicación de estos procedimientos?,
¿Realiza esta verificación cada seis meses?
¿Garantizan los procedimientos establecidos la reconstrucción de los datos al estado en que se encontraban antes de producirse la pérdida o destrucción?
Si esta pérdida o destrucción afecta a ficheros parcialmente automatizados:
¿Se ha procedido a grabar manualmente los datos?
¿Queda constancia motivada de este hecho en el Documento de Seguridad?
¿Se realizan copias de respaldo al menos semanalmente?
Si no es así ¿se debe a que no ha habido actualizaciones en ese periodo?
¿Las pruebas previas a la implantación o modificación de los sistemas de información se realizan con datos reales?
En caso afirmativo:
¿Se están aplicando las mismas medidas de seguridad que las que le corresponde por la naturaleza de los datos que contiene?
¿Se anota su realización en el Documento de Seguridad?
¿Se hacen copias de seguridad previas a la realización de pruebas con datos reales?
¿Se conserva una copia de respaldo y de los procedimientos de recuperación de datos en lugar diferente al de los equipos que los tratan?
¿Cumple este lugar las medidas de seguridad exigidas en el Reglamento?
REGISTRO DE ACCESOS
¿Existe el registro de accesos?
En caso negativo:
¿Concurren en el responsable alguna de las circunstancias que le eximen de este requisito?
¿Se ha hecho constar en el Documento de Seguridad?
¿Se está recogiendo en este registro la información mínima exigida en el Reglamento?
¿Los mecanismos que permiten el registro de estos accesos están directamente bajo el control del responsable de seguridad?
¿Existe la posibilidad de desactivar estos mecanismos?
¿Se conservan los datos registrados por un período mínimo de dos años?
¿Revisa el responsable de seguridad periódicamente la información registrada?
¿Realiza el responsable de seguridad un informe, al menos mensualmente, con el resultado de las revisiones realizadas y los problemas detectados?
¿El acceso a la documentación se realiza exclusivamente por personal autorizado?
¿Existen mecanismos para identificar los accesos realizados cuando los documentos son utilizados por múltiples usuarios?
¿Se ha establecido un procedimiento para registrar el acceso de personas no incluidas en el caso anterior?
¿Es adecuado?
ACCESO A DATOS A TRAVÉS DE REDES DE COMUNICACIONES
¿Los accesos a datos mediante redes de comunicaciones garantizan un nivel de seguridad equivalente a los accesos en modo local?
¿La transmisión de datos a través de redes se realiza de forma cifrada (o por cualquier otro mecanismos que garantice que la información no sea inteligible ni manipulada por terceros)?
¿Este mecanismo de cifrado es eficaz?
AUDITORÍA
¿Se realiza la actual auditoría en el plazo establecido desde la anterior?
Si ha habido modificaciones sustanciales en el sistema de información ¿se ha realizado a continuación una auditoría para verificar la adaptación, adecuación y eficacia de las medidas de seguridad?
¿Los informes de las auditorías anteriores incluían los datos, hechos y observaciones en los que se basaban sus dictámenes?
¿Se han implementado las medidas correctoras propuestas por auditorías anteriores?
¿Han sido eficaces y han corregido las deficiencias encontradas?
CRITERIOS DE ARCHIVO
¿Existe legislación específica con criterios para el archivo de soportes o documentos?
¿Garantizan estos criterios la conservación de documentos, la localización y consulta de la información?
¿Posibilitan el ejercicio de los derechos de oposición, acceso, rectificación y cancelación?
En caso de no existir legislación específica:
¿Ha establecido el responsable del fichero los criterios y procedimientos de actuación para el archivo de documentos?
¿Es adecuado este procedimiento?
ALMACENAMIENTO DE LA INFORMACIÓN
¿Los dispositivos de almacenamiento de documentos disponen de mecanismos que obstaculicen su apertura?
Si sus características físicas no permiten adoptar esta medida ¿ha adoptado el responsable medidas que impidan el acceso de personas no autorizadas?
CUSTODIA DE SOPORTES
¿Se custodia correctamente la documentación cuando ésta no se encuentra archivada en los dispositivos de almacenamiento por estar en revisión o tramitación?
¿Se impide en todo momento que sea accedida por persona no autorizada?
VERIFICADO POR
Nombre:
Cargo/Titulación: