Saltar al contingut principal
Orientacions 2016 OEA

Subsecció 3.7: Protecció dels sistemes informàtics

Per tal de complir el criteri esmentat en l'article 25, apartat 1, lletra j), de l'AE CAU, ha de vosté adoptar les mesures de seguretat oportunes per a protegir el seu sistema informàtic de la intrusió i assegurar la seua documentació.

3.7.1

En relació amb la pregunta a), les mesures poden consistir en el següent:

  • un pla de seguretat actualitzat en el que figuren les mesures en vigor per a protegir el seu sistema informàtic enfront de l'accés no autoritzat, així com la destrucció deliberada i la pèrdua d'informació;
  • informació detallada sobre si opera amb sistemes múltiples en múltiples llocs i com es controlen estos sistemes;
  • determinació dels responsables de la protecció i explotació del sistema informàtic de l'empresa (la responsabilitat no hauria de quedar limitada a una persona, sinó recaure en diverses, de manera que cadascuna d'elles puga controlar les accions de les altres),
  • informació detallada sobre tallafocs, antivirus i altres proteccions contra programes informàtics malintencionats;
  • un pla de continuïtat de l'empresa i de recuperació en cas d'emergència quan ocórreguen incidents;
  • rutines de còpia de seguretat que incloguen restauració de tots els programes i dades rellevants després d'una interrupció deguda a una avaria del sistema;
  • registres en els que es prenga nota de cada usuari i de les seues accions;
  • si la vulnerabilitat del sistema es gestiona periòdicament i qui la gestiona.

En relació amb la pregunta b), indiqueu la freqüència amb què comprova l'eficàcia del seu sistema contra l'accés no autoritzat, com registra els resultats i com fa front a la situació quan el sistema es veu amenaçat.

3.7.2

  • Els procediments que vosté establisca en relació amb els drets d'accés han d'incloure el següent:
    modalitats de concessió de les autoritzacions d'accés i nivell d'accés al sistema informàtic (l'accés a la informació sensible hauria d'estar limitat al personal autoritzat a introduir canvis en la mateixa),
  • format de les claus d'accés, freqüència dels canvis i persona encarregada de proporcionar aquelles claus d'accés, i
  • eliminació/manteniment/actualització de la informació sobre l'usuari.