Subsecció 3.7: Protecció dels sistemes informàtics
Per tal de complir el criteri esmentat en l'article 25, apartat 1, lletra j), de l'AE CAU, ha de vostè adoptar les mesures de seguretat oportunes per protegir el seu sistema informàtic de la intrusió i assegurar la seva documentació.
3.7.1
En relació amb la pregunta a), les mesures poden consistir en el següent:
- un pla de seguretat actualitzat en el que figurin les mesures en vigor per protegir el seu sistema informàtic davant l'accés no autoritzat, així com la destrucció deliberada i la pèrdua d'informació;
- informació detallada sobre si opera amb sistemes múltiples en múltiples llocs i com es controlen aquests sistemes;
- determinació dels responsables de la protecció i explotació del sistema informàtic de l'empresa (la responsabilitat no hauria de quedar limitada a una persona, sinó recaure en diverses, de manera que cadascuna d'elles pugui controlar les accions de les altres),
- informació detallada sobre tallafocs, antivirus i altres proteccions contra programes informàtics malintencionats;
- un pla de continuïtat de l'empresa i de recuperació en cas d'emergència quan ocorrin incidents;
- rutines de còpia de seguretat que incloguin restauració de tots els programes i dades rellevants després d'una interrupció deguda a una avaria del sistema;
- registres en els que es prengui nota de cada usuari i de les seves accions;
- si la vulnerabilitat del sistema es gestiona periòdicament i qui la gestiona.
En relació amb la pregunta b), indiqueu la freqüència amb què comprova l'eficàcia del seu sistema contra l'accés no autoritzat, com registra els resultats i com fa front a la situació quan el sistema es veu amenaçat.
3.7.2
- Els procediments que vostè estableixi en relació amb els drets d'accés han d'incloure el següent:
modalitats de concessió de les autoritzacions d'accés i nivell d'accés al sistema informàtic (l'accés a la informació sensible hauria d'estar limitat al personal autoritzat a introduir canvis en la mateixa), - format de les contrasenyes, freqüència dels canvis i persona encarregada de proporcionar aquelles contrasenyes, i
- eliminació/manteniment/actualització de la informació sobre l'usuari.