1. CADA MES (ficheros de nivel alto).- El Responsable de Seguridad de la Empresa se encargará de revisar la correcta definición, funcionamiento y aplicación de los procedimientos de control de accesos para aquellos ficheros con información de nivel alto y emitirá un informe con los resultados del mismo. Siendo un proceso mensual, únicamente se firmará en el mes en el que se ha revisado el registro de accesos (salvo que se produzca una incidencia en el sistema)
2. CADA 6 MESES.- El Responsable de Seguridad de la Empresa se encargará de verificar la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos emitiendo un informe sobre el mismo, meses de enero y junio. Se firmará y se marcarán con una “X” los apartados que el informe contempla y en el caso de que se produzca una incidencia en el sistema de copias y recuperación de datos, será recogida en el apartado observaciones.
3. CADA 2 AÑOS; AUDITORIA (solo para ficheros de nivel medio/alto, si es el caso).- Mientras la empresa tenga declarados ficheros de nivel medio o alto, los sistemas de información, instalaciones de tratamiento y almacenamiento de datos deberán someterse, al menos cada 2 años, a una auditoría interna o externa que verifique su cumplimiento.
4. EN CASO DE PRODUCIRSE UN ALTA/BAJA DEL SOFTWARE (programas/aplicaciones informáticos) o HARDWARE (Pc´s, servidores, faxes, escáner, impresoras).- actualizar su inventario.
5. UNA EMPRESA QUE VAYA A PRESTAR UN SERVICIO POR VEZ PRIMERA.- Con todas aquellas empresas que debido a la prestación de un servicio, puedan tener acceso a datos de carácter personal, con el fin de garantizar un uso adecuado de esos datos, según normas N-11.1 y N-11.2 se deberá establecer una relación contractual, en función de si lleva implícito o no, el acceso a datos de carácter personal se regulará de la siguiente manera:
- Si lleva implícito el acceso a los datos de carácter personal, la relación estará regulada mediante un Contrato de Encargo de Tratamiento entre las partes, como por ejemplo los servicios que nos pueda prestar una gestoría, una empresa de servicios informáticos o de seguridad.
- Si por la naturaleza del servicio prestado, por ejemplo servicio de limpieza, el acceso a datos no se debiera producir más que de manera accidental, esta relación deberá estar regulada mediante un contrato de prestación de servicios sin accesos a DCP
- El personal de estas empresas o entidades, quedará obligado a respetar los deberes de secreto y confidencialidad al amparo de lo que establece la Norma N-11.2 Personal Externo de Terceras Empresas.
- Los contratos mencionados estarán referenciados en el Anexo (Contratos de Encargado de tratamiento) del Documento de Seguridad .
6. ALTA, MODIFICACIÓN O BAJA DE FICHEROS QUE CONTENGAN INFORMACIÓN CON DATOS DE CARÁCTER PERSONAL (Procedimiento P-13: Actuación ante la AEPD). El capítulo 7 del documento de seguridad describe los procesos relacionados con el registro ante la Agencia Española de Protección de Datos. Cualquiera de las 3 actuaciones supone realizar, entre otras, las oportunas actualizaciones de los anexos 9.0, 9.1, 9.2 y 9.3