Protección de datos Medidas de seguridad para ficheros no automatizados Nivel Básico Documento de Seguridad Arts. 105 a 114 del Reglamento Nivel Medio Nivel Alto • Ámbito de aplicación: Recursos protegidos • Medidas, normas, procedimientos, reglas y estándares de seguridad • Funciones y obligaciones del personal detalladas por usuario o perfiles de usuarios • Procedimientos de notificación, gestión y respuesta ante las incidencias • Medidas a adoptar en caso de reutilización o desecho de soportes y documentos • Si existe encargado de tratamiento, es necesaria la referencia al contrato o documento, la identificación del encargado y vigencia del encargo. • Siempre actualizado y adecuado a las disposiciones vigentes • Identificación del responsable de seguridad • Control periódico del cumplimiento del documento Funciones y obligaciones • Funciones y obligaciones del personal claramente definidas y documentadas • Definición de las funciones delegadas • Difusión entre el personal de las normas que les afecten y las consecuencias por incumplimiento y adopción de medidas que garantice esta difusión Registro de Incidencias • Registro de todo tipo de incidencia, momento en que se ha producido, persona que la notifica, persona a la que se comunica, efectos derivados de la misma y medidas correctoras aplicadas. Control de Acceso • El personal propio y ajeno sólo tendrá acceso a los datos y recursos necesarios para el desarrollo de sus funciones. • Relación actualizada de usuarios y perfiles con accesos autorizados • Mecanismos que eviten el acceso a los datos o recursos con derechos distintos de los autorizados • Concesión de permisos de acceso sólo por personal autorizado Gestión de soportes • Identificación del tipo de información que contienen (se exceptuará cuando las características de los soportes los imposibiliten) • Inventario de los soportes y solo será accesible para el personal autorizado. • El etiquetado de la información sensible solo será comprensible para el personal autorizado • Salida de soportes y documentos sólo autorizada por el responsable del fichero o autorizada en el documento de seguridad • Medidas para transporte que eviten la sustracción, perdida o acceso indebido. • Medidas para impedir la recuperación posterior de información de un soporte que vaya a ser desechado o reutilizado. Criterios de archivo • Criterios de archivo los que correspondan legalmente o en su defecto los que establezca el responsable si bien éstos han de garantizar la conservación de documentos, localización, consulta de la información y posibilitar el ejercicio de los derechos de acceso, rectificación y cancelación. Dispositivos de • Deberán disponer de mecanismos que obstaculicen su apertura almacenamiento • Si no es posible se adoptaran medidas alternativas que impidan el acceso de personas no autorizadas. Custodia de los soportes Responsable de Seguridad Auditoria • La persona que se encuentre al cargo de la documentación, deberá custodiarla e impedir los accesos no autorizados, mientras la documentación no se encuentre archivada. • Se designará uno o varios nombrados por el responsable del fichero. • Encargado de coordinar y controlar las medidas establecidas en el documento de seguridad. • El nombramiento no supone delegación de responsabilidad del responsable del fichero. • Al menos cada dos años. • Informe: Con análisis de las medidas y controles, deficiencias, medidas correctores y recopilación de evidencias. • Análisis del responsable de seguridad y conclusiones al responsable del fichero • Deberá quedar a disposición de la Agencia de Protección de Datos competente. Almacenamiento de la información • Los dispositivos donde se almacenen los documentos de los ficheros manuales deben encontrarse en áreas con acceso protegido con puertas con llave o dispositivo equivalente. • Deberán estar cerradas cuando no sea preciso acceder a los documentos incluidos en el fichero. • Podrán adoptarse medidas alternativas cuando no sea posible la anterior y se reflejarán en el Documento de Seguridad. Copia o reproducción • La generación de copias sólo podrá ser realizada bajo el control del personal autorizado en el documento de seguridad. • Las copias deberán ser destruidas de forma que se evite el acceso a la información o su recuperación posterior. Acceso a la Documentación (Registro de accesos) • El acceso a la documentación se limitará exclusivamente al personal autorizado. • Se establecerán mecanismos para identificar los accesos a documentos con múltiples usuarios. • El acceso de personas no incluidas en el párrafo anterior, deberá quedar registrado conforme a procedimiento establecido en doc. de seguridad. Traslado de documentación • Adopción de medidas encaminadas a impedir acceso o manipulación de la información. 44 # Excmo.Colegio Oficial de Graduados Sociales de Madrid