El Documento de Seguridad 2: Ámbito y Medidas

Publicado por Jesús Pérez Serna - Marketing Positivo un Miércoles, Abril 21st 2010   
21
Abr

Para comenzar a redactar el Documento de Seguridad al que hacíamos referencia en el anterior post de la serie, el responsable del fichero habrá de definir el ámbito de aplicación del documento, es decir, indicar a qué ficheros con datos de carácter personal se aplica, ya que la ley autoriza a redactar un documento por cada fichero o uno genérico para todos los ficheros de la entidad, siendo éste el caso más usual para un profesional o pyme.

Asimismo habrá que indicar cuál es el nivel de seguridad (bajo, medio o alto) a aplicar a cada fichero atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información, indicando también si se trata de sistemas automatizados, manuales o mixtos.

Sin embargo el grueso del texto será la descripción de las medidas, normas, procedimientos, reglas y estándares encaminados a garantizar los niveles de seguridad exigidos en el documento.

Hay que distinguir esta parte del documento de los Anexos que se incluyen al final del mismo. Es en estos Anexos dónde se indicarán los listados y registros que hay que mantener actualizados, mientras que aquí estamos estableciendo las medidas tomadas para garantizar y proteger los datos de carácter personal, digamos las “reglas del juego”.

Sea cual sea el nivel de protección exigido, el Documento de Seguridad deberá incluir estos apartados:

  • Identificación y autenticación.
  • Control de accesos.
  • Gestión de soportes y documentos.
  • Acceso a datos a través de redes de comunicaciones.
  • Régimen de trabajo fuera de los locales de ubicación del fichero.
  • Ficheros temporales o copias de trabajo de los documentos.
  • Funciones y obligaciones del personal y procedimiento de información.
  • Procedimientos de notificación, gestión y respuesta ante incidencias.
  • Procedimientos de revisión.

En el caso de ficheros de nivel medio o alto, se añadirá además:

  • Procedimiento de registro de accesos.
  • Procedimiento de registro de entrada y salida de soportes.
  • Criterios de archivo.
  • Almacenamiento de la información.
  • Custodia de soportes.
  • Mecanismos de cifrado.
  • Traslado de documentación.
  • Copias de respaldo y recuperación.
  • Responsable de seguridad.
  • Procedimiento de auditoría.

Como ya indicaba, algunos de estos procedimientos generan la obligación de mantener listados (personal con acceso a datos, autorizaciones, copias de seguridad, etc…) que se incorporan al Documento de Seguridad como Anexos. En el siguiente post de la serie veremos qué Anexos son y la obligación de mantenerlos actualizados.

Viene de: El Documento de Seguridad 1: Generalidades
Continúa en: El Documento de Seguridad 3: Anexos

  • Facebook
  • Meneame
  • Twitter
  • Share/Bookmark

Si disfrutaste nuestro artículo, siéntete libre de suscribirte a nuestro feed rss

Archivado bajo: Básico     Etiquetas:
6 Comentarios   



Artículos Relacionados

  • Tienes que instalar el plugin 'similar post' para ver esta sección.

    • Hay 6 Comentarios para “El Documento de Seguridad 2: Ámbito y Medidas”

    1. Ana Luisa Mayans Dice:
      Abril 21st, 2010 a las 9:43

      Tengo una duda sobre el documento de seguridad: ¿es necesario tener una copia física en cada ubicación de la empresa a disposición de una posible inspección?

    2. Jesús Pérez Serna - Marketing Positivo Dice:
      Abril 21st, 2010 a las 10:13

      Ana: no es necesario. De hecho y debido a la obligación de tener este documento permanente actualizado, no es conveniente tener varias copias del mismo, salvo que estén coordinadas a través de un software de gestión o de cualquier otro mecanismo informático.

    3. Carlos Albarracín Dice:
      Abril 22nd, 2010 a las 13:16

      Hola
      Tengo un par de dudas respecto a la inscripción de datos en el registro de la AEPD.

      En primer lugar: ¿existe alguna disposición, resolución o artículo concreto en el que se defina qué es exactamente un fichero mixto? ya que sí queda bién claro qué es un fichero automatizado y qué es un fichero manual, pero no encuentro información sobre el mixto.

      En segundo lugar: En el supuesto de que ya tuviéramos registrado un fichero bajo un sistema automatizado, y posteriormente encontrásemos ese mismo fichero en soporte papel, sería necesario realizar una modificación en el registro para registrarlo como fichero mixto?

      Gracias con antelación y perdón por el tostón.

    4. Jesús Pérez Serna - Marketing Positivo Dice:
      Abril 22nd, 2010 a las 13:54

      Carlos: gracias por la visita y el comentario.

      En el manual del Formulario Nota se dice: “Se entiende por sistema de tratamiento el modo en que se organiza la información o utiliza un sistema de información. Atendiendo al sistema de tratamiento, los sistemas de información podrían ser automatizados, no automatizados (manual) o parcialmente automatizados (mixto).”

      En el supuesto consultado se debería efectivamente realizar una modificación de la inscripción, concretamente en el Apartado 7: Tipos de datos, estructura y organización del fichero.

    5. Susana Dice:
      Septiembre 30th, 2010 a las 10:08

      Buenos dias,

      Somos administradores de fincas y debemos redactar el documento de seguridad, me podrias indicar si desde algun enlace existe un documento estandar redactado que podamos guiarnos?
      Gracias por anticipado

    6. Jesús Pérez Serna - Marketing Positivo Dice:
      Septiembre 30th, 2010 a las 10:40

      Hola Susana: en respuesta a tu pregunta hemos publicado este post:
      http://www.ayudaleyprotecciondatos.es/2010/09/30/guia-del-documento-de-seguridad/
      donde encontrarás el enlace para descargar.
      Esperemos que os sea de utilidad.

    Deja un Comentario

    «
    »