INSERTAR ESCUDO MUNICIPAL Documento de Seguridad Reglamento interno de medidas de seguridad de los ficheros que contengan datos de carácter personal DS – 02 IDENTIFICACIÓN Y FUNCIONES DE LOS RESPONSABLES ELABORADO POR: REVISADO POR: ARPOBADO POR: Fecha: Fecha: Fecha: DOCUMENTO DE SEGURIDAD DS-02 INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES Control de Documento EDICIÓN FECHA 01 22.01.10 MOTIVO Elaboración del documento Página 3 de 11 DOCUMENTO DE SEGURIDAD DS-02 INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES INDICE CONTROL DE DOCUMENTO ................................................................................................................ 3 1 IDENTIFICACIÓN DE RESPONSABLES ...................................................................................... 5 1.1 Obligaciones específicas ....................................................................................................... 5 1.2 Nombramiento del Responsable de Seguridad. .................................................................... 8 2 CONTROL PERIODICO DEL CUMPLIMIENTO DEL DOCUMENTO ........................................... 8 3 REGISTROS ................................................................................................................................. 11 Página 4 de 11 DOCUMENTO DE SEGURIDAD DS-02 INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES 1 IDENTIFICACIÓN DE RESPONSABLES Es fundamental, en la política de protección de datos de carácter personal, que exista una efectiva correlación entre las funciones y obligaciones que desarrolla cada usuario del sistema y la realidad, así como el conocimiento por parte del personal del AYUNTAMIENTO de la normativa de seguridad que afecta al desarrollo de sus funciones, garantizándose el cumplimiento de lo dispuesto en el artículo 89 RLOPD. Es tarea del Responsable de Seguridad concienciar al personal acerca de la importancia de la protección de los datos contenidos en el sistema informático de la empresa. Pese a que, al igual que ocurría con el RMS, el actual Reglamento de desarrollo de la LOPD no exige la existencia de la figura del Responsable de Seguridad en aquellos ficheros para los que son de aplicación exclusivamente las medidas de seguridad de nivel básico, en aras de homogeneizar la implantación de las medidas de seguridad, se designará igualmente esta figura, amparándonos para ello, en el párrafo 7 del artículo 81 del RLOPD por el que cada uno de los niveles de seguridad tiene la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes. A efectos del presente documento de seguridad se distinguen las siguientes categorías: Categoría Responsable del Fichero Responsable AYUNTAMIENTO DE XXX Responsable de Seguridad Administrador de Sistemas 1.1 Obligaciones específicas Las funciones y obligaciones específicas de dichas categorías son: Página 5 de 11 DS-02 DOCUMENTO DE SEGURIDAD INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES Responsable del Fichero Persona física o jurídica que decide sobre la finalidad, contenido y uso del tratamiento de los ficheros con datos de carácter personal. Sus funciones son: a) Responder jurídicamente de la seguridad del fichero y de las medidas establecidas en el presente documento. b) Implantar las medidas de seguridad establecidas en el documento. c) Adoptar las medidas necesarias para que el personal afectado en el documento conozca las normas de seguridad que afecten al desarrollo de sus funciones y tome conciencia de los riesgos y las consecuencias que pudieran derivarse en caso de incumplimiento. Para ello, se ha publicado el contenido del presente Documento de Seguridad, que afecta al personal, así como se ha comunicado su existencia a todo el personal afectado, anotando las evicencias correspondientes en los siguientes registros: a. DS02-R00 – PUBLICACIÓN DEL DOCUMENTO SEGURIDAD b. DS02-R01 – COMUNICACIÓN DOCUMENTO DE SEGURIDAD d) Designar responsable /s de seguridad. e) Facilitar con diligencia el ejercicio de los derechos acceso, cancelación y rectificación al interesado. Adoptar las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. En AYUNTAMIENTO el documento de seguridad se publica en la intranet en la URL indicada en el registro [P.Ej.: DS02R00 – PUBLICACIÓN DEL DOCUMENTO SEGURIDAD, y ha sido comunicado a todo el personal a través del correo electrónico, guardándose la evidencia en el registro DS02-R01 – COMUNICACIÓN DOCUMENTO DE SEGURIDAD.] Responsable de Seguridad Persona o Personas Físicas, designadas por el Responsable del Fichero, con la misión de coordinar y controlar las medidas de seguridad aplicables. Sus funciones son: Página 6 de 11 DS-02 DOCUMENTO DE SEGURIDAD INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES a) Informar periódicamente al Responsable del Fichero de todas las actuaciones y anomalías e incidencias acaecidas en los sistemas de información de la empresa en materia de protección de datos. b) Cooperar con el Responsable del Fichero controlando el cumplimiento de las normas. c) Habilitar y gestionar un registro central de incidencias. Adoptar las medidas precisas para hacer frente a cualquier incidencia que pudiera sobrevenir. d) Mantener actualizado el documento de seguridad, realizando las modificaciones oportunas siempre que se produzcan cambios relevantes en el mismo, así como para adaptarlo a la normativa vigente de cada momento. Para ello deberá evaluar las modificaciones propuestas por los responsables jurídicos y de seguridad, así como de los usuarios del sistema. Supervisar la puesta en marcha de las medidas de seguridad en el área que le fuera asignada. e) Realizar controles periódicos de verificación del cumplimiento de las medidas de seguridad. f) Controlar la existencia y el cumplimiento por parte del personal, de los procedimientos de acceso establecidos. g) Habilitar y gestionar un inventario de soportes y un libro-registro de entradas y salidas de soportes informáticos, que contengan datos de carácter personal fuera del ámbito físico de que se efectúen desde sus respectivos departamentos. Administrador de Sistemas Persona física encargada de implantar las medidas de seguridad, en lo que a control de acceso se refiere una vez autorizadas por el Responsable de Seguridad. Las funciones del Administrador de Sistemas recaerán sobre el personal que realiza las tareas de administración de seguridad en los deferentes sistemas de información del AYUNTAMIENTO. Página 7 de 11 DS-02 DOCUMENTO DE SEGURIDAD INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES Usuarios El resto del personal que integra el AYUNTAMIENTO tiene las siguientes funciones: a) Asumir la responsabilidad del puesto de trabajo asignado, garantizando la confidencialidad e integridad de la información a la que tienen acceso. b) Cumplir con todas las obligaciones que se deriven del presente documento y con los procedimientos que se detallan en el mismo. c) Garantizar la confidencialidad de las contraseñas que le fueran asignadas. d) Utilizar y gestionar los soportes con la diligencia debida y atendiendo en todo caso al procedimiento establecido de gestión de soportes. e) Comunicar al Responsable de Seguridad correspondiente cualquier incidencia de la que tenga conocimiento. f) Colaborar con el AYUNTAMIENTO en todo lo necesario para facilitar el cumplimiento de lo establecido en la legislación vigente en materia de protección de datos. 1.2 Nombramiento del Responsable de Seguridad. El nombramiento oficial del Responsable de Seguridad se recoge en el Registro DS02-R03: DS02-R03 - NOMBRAMIENTO RESPONSABLE DE SEGURIDAD.DOC 2 CONTROL PERIODICO DEL CUMPLIMIENTO DEL DOCUMENTO La veracidad de los datos contenidos en los anexos del presente Documento de Seguridad, así como el cumplimiento de las normas que en él se establecen han de ser periódicamente comprobadas, de forma que puedan detectarse y subsanarse las anomalías que pudieran producirse. El Responsable de Seguridad comprobará al menos semestralmente los siguientes conceptos: Aplicación del documento de seguridad - Existencia del documento de seguridad original en poder del Responsable de Seguridad. Página 8 de 11 DS-02 DOCUMENTO DE SEGURIDAD INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES - Existencia de copia del documento de seguridad en poder de cada Responsable de Seguridad, si lo hubiera. - Disponibilidad del documento respecto de los usuarios del sistema. - Nivel de conocimiento del documento por parte de los usuarios. - Nivel de acatamiento a las normas y estándares que contiene. Vigencia del Documento de Seguridad - Adecuación del Documento a los dispositivos físicos del AYUNTAMIENTO. - Adecuación del Documento a los recursos lógicos del AYUNTAMIENTO. - Adecuación del Documento al personal activo en la empresa. Sistema de identificación y autenticación - Existencia de un listado del personal con indicación de sus respectivos identificadores y contraseñas en poder del administrador de sistemas. - Existencia de cambios periódicos de contraseña. - Correlación entre la lista y el personal con acceso al sistema. - Instauración de permisos al personal. - Almacenamiento cifrado de las contraseñas dentro del sistema. Control y Registro de acceso - Existencia de procedimientos de control de acceso lógico al sistema de información. Existencia de logs. Gestión de soportes - Existencia de identificación en los soportes. - Existencia de inventario de soportes. - Almacenamiento de soportes en sitio seguro. - Cumplimiento almacenamiento de soportes para nivel alto. - Existencia de inventario de entrada de soportes. - Existencia de inventario de salida de soportes. - Existencia de medidas ante desecho / reutilización de soportes. Página 9 de 11 DOCUMENTO DE SEGURIDAD DS-02 INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES Copias de respaldo - Existencia de procesos de copias de respaldo. - Establecimiento de procedimientos periódicos. - Almacenamiento de las copias en lugar seguro. - Comprobación de recuperación de datos. Gestión de incidencias - Existencia de procedimiento de Registro de incidencias. - Existencia de catálogo de incidencias. - Existencia de acciones correctoras iniciadas ante incidencias. Almacenamiento de la información - Copia o reproducción - Comprobación de los sistemas de apertura Comprobación de la destrucción de los documentos y de los medios existentes Acceso a la documentación - Existencia de los mecanismos de indentificación de acceso a la información - Comprobación del registro de accesos. Traslado de la documentación - Existencia de los mecanismos usados para impedir el acceso o la manipulación la información Los resultados de estos controles periódicos de verificación se adjuntarán al presente documento de seguridad conforme al registro DS02-R02 – CONTROLES PERIÓDICOS DE VERIFICACIÓN Página 10 de 11 DS-02 DOCUMENTO DE SEGURIDAD INSERTAR ESCUDO MUNICIPAL IDENTIFICACIÓN Y FUNCIONES DE LOS ED.: 01 RESPONSABLES 3 REGISTROS Nombre de Registro Información DS02-R00 – PUBLICACIÓN DEL DOCUMENTO SEGURIDAD DS02-R01 – COMUNICACIÓN DOCUMENTO DE SEGURIDAD DS02-R02 – CONTROLES PERIÓDICOS DS02-R02 – CONTROLES DE VERIFICACIÓN PERIÓDICOS DE VERIFICACIÓN.XLS DS03-R03 – NOMBRAMIENTO DS02-R03 - NOMBRAMIENTO RESPONSABLE DE SEGURIDAD RESPONSABLE DE SEGURIDAD.DOC Página 11 de 11