Obligatoriedad de auditorías bienales según el RLOPD

Autor: Áudea Seguridad de la Información

Auditoria y control interno

23-11-2009

Los sistemas de información e instalaciones de tratamientos que contengan los datos calificados de nivel medio y/o alto, se someterán a una Auditoría al menos de forma bienal, que verifique el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad de datos.

La realización de la Auditoría será también obligatoria en el caso de cambios en los sistemas de información que pueden afectar a las medidas ya implantadas, iniciando en ese caso el cómputo de dos años.

Dicha auditoría, que puede ser realizada de forma interna o externa, deberá finalizar en la emisión de un Informe, dictaminando la adecuación de las medidas y controles implantados a la Ley y su desarrollo reglamentario, y en su caso identificando las deficiencias y proponiendo las medidas correctoras o complementarias necesarias, incluyendo los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas.

Los informes de auditoría serán analizados por el Responsable de Seguridad, que elevará las conclusiones al Responsable del Fichero para que adopte las medidas correctoras adecuadas y en todo caso, el informe quedará a disposición de la Agencia Española de Protección de Datos, o en su caso de las autoridades de control de las Comunidades Autónomas.

Es recomendable que el Responsable de Seguridad preparare un Programa de Auditoría de Seguridad, donde se especifique expresamente:

• Los ficheros previamente inscritos en el RGPD
• Las fechas propuestas para la realización de las auditorías.
• Los auditores internos designados o en su caso, la empresa externa Auditora.
• Los documentos necesarios para su revisión.
• Departamento y persona de contacto a entrevistar.

Una vez terminado el programa de la Auditoria, el Responsable de Seguridad, deberá remitir una copia a la Dirección de la empresa, con objeto de ponerlo en su conocimiento y obtener su aprobación.

El equipo auditor, con la colaboración del Responsable de Seguridad, así como otros responsables involucrados, revisará la documentación necesaria para llevar a cabo la auditoría.

Entre otros documentos se revisarán los siguientes:

• Documento de Seguridad vigente
• Histórico de notificaciones, con las respectivas copias de las altas, modificaciones y cancelaciones de ficheros ante el RGPD.
• Mapa de sistemas de la empresa
• Relación de aplicaciones utilizadas en el sistema informático de la empresa
• Organigrama con indicación de los departamentos de la empresa y sus responsables
• Auditorías anteriores
• Informes de controles periódicos de verificación efectuados

Tras la revisión de la documentación aplicable, los auditores prepararán una lista de comprobación en la que relacionen los aspectos a verificar durante la auditoría.

La Auditoría se llevará a cabo durante las fechas previstas en el calendario de trabajo propuesto, y las verificaciones a efectuar durante la misma serán en general.

Una vez finalizada la Auditoría, los auditores se reunirán con el / los responsables con el objeto de exponer las desviaciones detectadas y proponer las medidas correctoras para su resolución. Finalmente se emitirá un informe por parte del Auditor.

El auditor, firmará el informe emitido y lo remitirá a la Dirección de la Empresa, así como al Responsable de Seguridad, el cual procederá a distribuirlo entre las áreas implicadas de la empresa para su revisión y análisis, archivando el original del mismo para realizar el seguimiento de las incidencias derivadas.

¿Te gustó? Compártelo con tu mundo

Áudea Seguridad de la Información

www.audea.com

Aportado por: Elena Ortega de Nicolás

comunicacionarrobaaudea.com

Compartir ideas impulsa el desarrollo

Difunde las tuyas entre miles de latinoamericanos que visitan GestioPolis a diario

¿Qué hay de nuevo?

Ver más

Lo que se está compartiendo

Otros artículos que te van a interesar

Explora todas las publicaciones por tema

Presupuestos Empleo, contratación y despido Liderazgo Costos Tecnología e internet Responsabilidad Social Empresarial Economía pública Formación y capacitación Estrategia y dirección estratégica Inteligencia emocional Compensación y salarios Gestión del talento Auditoria y control interno Autoayuda y superación personal Evaluación de proyectos y economía matemática Herramientas para emprendedores Gestión por competencias Economía política Pensamiento económico Ventas y administración de ventas Posicionamiento y marcas Contabilidad Negociación Canales de distribución y administración logística Gestión de la calidad Motivación e incentivación Estados financieros Microeconomía Comunicación organizacional Gestión financiera Producción, procesos y operaciones Competitividad Marketing estratégico SIM e Investigación de mercados Marketing directo y en línea Análisis, descripción y diseño de puestos Teoría de la organización Análisis financiero Entorno financiero y los mercados Comercio internacional Gestión del conocimiento Publicidad, promoción y Relaciones Públicas Estrategia de productos y servicios Pequeñas y Medianas Empresas PyMEs Tipos de mercado y su comportamiento Plan de negocios Macroeconomía Gestión del cambio Espíritu emprendedor Globalización e integración internacional Fundamentos de economía Innovación y creatividad Instrumentos, inversiones, riesgo y financiamiento Clima laboral Mejores prácticas Gestión ambiental y sostenibilidad Satisfacción y servicio al cliente Trabajo en equipo Reclutamiento y selección Matemáticas financieras Política económica

"Si tú tienes una manzana y yo tengo una manzana e intercambiamos las manzanas, entonces tanto tú como yo seguiremos teniendo una manzana. Pero si tú tienes una idea y yo tengo una idea e intercambiamos ideas, entonces ambos tendremos dos ideas" George Bernard Shaw

Contenidos publicados con licencia CC BY-NC-SA 3.0 a excepción de los casos en los que se indican derechos de autor específicos. Sugerimos contactar a los autores al usar material públicamente.