L’objecte principal d'aquest bloc és proporcionar una descripció detallada i clara dels diferents controls a avaluar necessaris per assegurar que és compleixen els requisits de seguretat, incloent-hi la seguretat lògica, física, de personal i de l'arxiu.
Seguretat física
Es refereix als controls físics que teniu implantats. Les més bàsiques són: tenir mitjans de prevenció de foc, controls d’accés, etc...
o 3.1.1 Es realitza una revisió regular de les llistes d'accés per a assegurar-se que només persones autoritzades tinguin accés? Les Les llistes d'accés són registres que controlen quines persones estan autoritzades a accedir a certes àrees o recursos físics. S’haurien de revisar regularment per garantir que només el personal autoritzat mantingui accés, eliminant-ne aquells que ja no necessiten permisos.
Seguretat lògica
Es refereix a controls tecnològics que teniu implantats per assegurar els equips (ordinadors, etc.) d'algun accés per part d'un tercer. Les més bàsiques són: tenir una contrasenya que tingui més de X caràcters, que s'hagi de canviar cada cert temps, que hagi de contenir caràcters especials, etc.
o 3.2.1 Disposen de polítiques de control d’accés lògic: rols i responsabilitats, qualitat de contrasenyes, de taules netes (bloqueig de pantalles) i de bones pràctiques en seguretat?
Les polítiques de control d’accés lògic asseguren que només les persones autoritzades puguin accedir als sistemes segons els seus rols i responsabilitats. Inclouen requisits per a contrasenyes segures (complexes, amb caducitat i històric), bloqueig automàtic de pantalles en cas d’inactivitat (taula neta), i bones pràctiques generals com l’ús d’antivirus, tallafocs i formació del personal en seguretat. Aquestes mesures minimitzen el risc d’accessos no autoritzats i protegeixen la informació.
o 3.2.2 Existeix un procediment clar per a la notificació de pèrdua o robatori de dispositius que puguin contenir informació confidencial?
Un procediment per a la notificació de pèrdua o robatori és un conjunt de passos definits que s'han de seguir quan es descobreix que un dispositiu amb informació confidencial ha estat perdut o robat. L'objectiu és minimitzar els riscos associats a la pèrdua d'informació i garantir una resposta ràpida i efectiva.
Seguretat del personal
Es refereix a controls relacionats amb el personal. Per exemple, procediments de baixa, formació, etc.
o 3.3.1 Es revisen regularment els permisos d'accés a mesura que canvien les responsabilitats laborals?
Els permisos d'accés són els drets que es concedeixen als empleats per accedir a determinades àrees, sistemes o informació dins d'una organització. Això ajuda a prevenir accessos no autoritzats i a mantenir la seguretat de la informació.
o 3.3.2 Tots els operadors que hagin estat de baixa han estat comunicats al Consorci AOC a través del responsable i s’ha revocat el certificat de l’operador en qüestió?
Aquest control verifica si s’ha gestionat correctament la baixa dels operadors. Inclou la notificació formal al Consorci AOC per part del responsable corresponent i la revocació del certificat digital associat a l’operador. Això assegura que els ex-operadors no puguin accedir als sistemes o serveis, evitant possibles riscos de seguretat derivats d’usuaris no autoritzats.
o 3.3.3 En cas de participació de personal extern, aquests han signat una clàusula de confidencialitat amb l’Entitat de Registre?
El personal extern que treballa amb l'Entitat de Registre ha de signar una clàusula de confidencialitat. Això assegura que els col·laboradors no empleats directament per l'organització, però amb accés a informació sensible, es comprometin legalment a mantenir la confidencialitat. Aquesta pràctica protegeix les dades sensibles, compleix amb normatives de protecció de dades i estableix una base legal per a possibles accions en cas d'incompliment, mantenint així la seguretat i integritat de la informació de l'Entitat de Registre.
Consulta el qüestionari d'auditoria ER idCAT
Et podria interessar:
- Procediment per adjuntar certificats
- Auditoria: requisits de gestió documental i arxiu
- Auditoria: requisits operatius
- Per què una auditoria?
Per qualsevol consulta pots contactar amb el correu de suport a l'auditoria.