Master en Auditoria de la Lopd, Rd 1720/2007 y Norma ISO 27001

Unidad 1: Auditoría de Protección de datos personales

• Definición y tipos de auditorias de Seguridad de protección de datos
• Principios fundamentales de la ley 15/999 de protección de datos de carácter personal Certificación de
• Principios fundamentales del Reglamento de Medidas de Seguridad para la protección de datos de personales Criterios de auditoría de seguridad de protección de datos.
• Casos prácticos.
• Elección de la LEGISLACIÓN Y REGLAMENTACIÓN APLICABLE. a las auditorías de protección de datos personales

Unidad 2: Gestión del Programa de Auditorias de Protección de Datos personales

Gestión de un Programa de Auditorías

• Planificación del programa de auditoría de protección de datos
  
  • Objetivos y ejemplos de objetivos de un programa de auditoría
  • Amplitud de un programa de auditoría.
  • Responsabilidades del programa de auditoría.
  • Recursos necesarios para gestionar el programa de auditoría.

• Implantación del programa de auditoría
  
  • Procedimientos del programa de auditoría.
  • Registros del programa de auditoría

• Seguimiento y revisión del programa de auditoría
  
  • La revisión del programa de auditoría
  • Toma de decisiones para la mejora del programa de auditoría

Unidad 3: Planificación y preparación de las Auditorias de los Sistemas de Calidad.

• Plan de auditoría.
• Selección de los auditores.
• Preparación y utilización de listas de comprobación

Unidad 4: Proceso de la Auditoría de Protección de Datos Personales

• Etapas de la Auditoria
• Reunión Inicial
• Fuentes de Información.
• Técnicas para la obtención de la información para las entrevistas.
• Comunicación.
• Comprobaciones a realizar
• Observación de Sistemas de Información, puestos, procesos, recursos, locales, etc.
• Verificación de las medidas de seguridad del RMS y del Documento de Seguridad
• Verificación de los requisitos de la LOPD
• Recogida de evidencias objetivas.
• Análisis de los datos obtenidos y resultados
• Documentación de las observaciones. Registro de INCIDENCIAS y No-conformidades.
• Acciones correctoras / preventivas.
• Propuesta de mejora
• Reunión de cierre.

Unidad 5: Informes de las Auditorias de Protección de datos

• INFORME DE AUDITORIA: Estructura, índice y contenido, requisitos legales para el informe de auditoria.
• Requisitos legales para el informe de auditoria
• Estructura del Informe
• Preparación del informe.
• Contenido del informe.
• Distribución del informe.
• Retención del informe.
• Confidencialidad.

Unidad 6: Seguimiento de los resultados de las Auditorias de Protección de datos

• Repetición de las Auditorias.
• Seguimiento de las acciones correctoras y medidas complementarias.

Unidad 7: Las personas que participan en la Auditoria de protección de datos.

• El responsable del Fichero. Funciones y Responsabilidades
• El responsable de Seguridad. Funciones y Responsabilidades.
• EL equipo Auditor. Funciones y responsabilidades
• Características y cualidades personales y profesionales de los auditores. Comportamiento del Auditor durante la auditoria.
• La comunicación durante la auditoria: preguntas. La expresión oral y escrita.
• Cómo actuar ante una auditoría: Actitudes y comportamiento de los auditados

Unidad 8: La formación, competencia, evaluación y cualificación de los auditores de protección de datos personales

• Criterios generales para la cualificación de los auditores
• Proceso para asegurar la competencia global del equipo auditor
• Evaluación de los auditores
• Detalle del Proceso de evaluación.

Unidad 9: EL NUEVO REGLAMENTO DE DESARROLLO DE LA LOPD

• Principales modificaciones del Nuevo Reglamento de Desarrollo de la LOPD:
• Modificaciones en el Ámbito de aplicación: consideración especial de los datos de las personas fallecidas.
• Ampliación de las definiciones establecidas por la LOPD.

Principios a tener en cuenta:

• *Cómo acreditar el cumplimiento del deber de información.
• * Métodos para la obtención del consentimiento de los afectados.

Datos especialmente protegidos: atención relevante a los datos de salud.

Derechos de los titulares de los datos:

• * Ejercicio de derechos ante los Servicios de Atención al Cliente.
• * Reglas para el cómputo de plazos.
• * Ejercicio de derechos en ficheros concretos.
• * Ejercicio del derecho de oposición.

Cesión o comunicación de datos:

• * Como formalizar la subcontratación entre el responsable del fichero Encargado de Tratamiento y los subcontratistas de éste que tengan acceso a datos personales del Responsable del fichero.

• * Transferencias internacionales de datos.

Medidas de seguridad (el Reglamento LOPD frente al RD 994/1999):

• * Cambios en los niveles de seguridad: básico, medio y alto.
• * Aplicación del Reglamento a los ficheros no automatizados.
• * Ampliación del contenido del Documento de Seguridad:

Encargados de Tratamiento.

• * Copias de respaldo: verificación semestral.
• * Registro de accesos: nivel medio.
• * Auditoría bienal: notificación a la AEPD.

Infracciones y sanciones.

Unidad 10: Ejercicios, Cuestionarios y Examen

Las tareas diseñadas tendrán las siguientes finalidades

9.1) Tarea para reforzar la comprensión y análisis exhaustivo de los requisitos de la LOPD

9.2 ) Auditoria de casos prácticos y situaciones de empresa desde el punto de vista de auditoría

9.3) Prácticas sobre casos reales, muy útiles y didácticas para saber cómo

analizar y registrar de evidencias de auditoria de protección de datos
establecer qué criterios de auditoría de protección de datos hay que aplicar en cada caso
Definir correctamente los hallazgos surgidos en las auditorías de protección de datos
Cómo establecer objetivos de auditoría de protección de datos útiles para la dirección de la empresa y que eviten el riesgo de sanciones
Proporcionar conclusiones objetivas, fiables, verificables y correctamente fundamentadas según los principios de la ley y del RMS.

9.4) Prácticas sobre casos reales, para saber cómo

Proponer correcciones a las deficiencias encontradas
Evaluar, aplicar y valorar acciones correctoras

9.5) Prácticas sobre casos reales, para saber cómo
Proponer correcciones a las deficiencias encontradas
Evaluar, aplicar y valorar acciones correctoras

9.6) Práctica de diseño un plan de auditoria real, para su empresa, o en una empresa externa

9.7) Prácticas de auditoria de protección de datos personales: cumplimentar informes de incidencias, cumplimentar el informe de Auditoria, etc. Tarea útil para saber cómo interpretar situaciones de incumplimiento, sanciones que llevarían aparejadas, realización de propuestas de soluciones y acciones correctivas.

9.8) Práctica para afianzar el conocimiento e interpretación de las normas, leyes y reglamento de medidas de seguridad, para distinguir entre requisitos y recomendaciones.

9.9) Práctica de una auditoría real de protección de datos personales incluyendo: los Procedimientos, Planes y formularios rellenados y aplicados a su organización.
Esta tarea consta de dos partes:
la primera: Diseño deü los modelos, impresos y formularios necesarios para su empresa
la segunda:ü Realización de la auditoría y formalizar los modelos e impresos con el reflejo de la situación real de su organización en relación con la protección de datos

• Norma ISO 27001-2005
• Sistema de Gestión de la Seguridad de la Información (SGSI)
• Requisitos Generales
• Establecer y gestionar un SGSI
• Establecer el SGSI
• Implantar y aplicar el SGSI
• Seguimiento y revisión del SGSI
• Mantenimiento y mejora del SGSI
• Requisitos de la documentación
• General
• Control de Documentos
• Control de los Registros
• Responsabilidad de la Dirección
• Compromiso de la Dirección
• Gestión de los recursos
• Provisión de los recursos
• Entrenamiento, concienciación y competencia
• Auditorías internas del SGSI
• Revisión del SGSI por la Dirección
• General
• Entradas a la revisión
• Salidas del proceso de revisión
• Mejora del SGSI
• Mejora continua
• Acción correctiva
• Acción preventiva

ISO 17779-2005

EVALUACION Y TRATAMIENTO DE RIESGO

• Evaluar los riesgos de seguridad
• Tratamiento de riesgos de seguridad

POLÍTICA DE SEGURIDAD

• Política de seguridad de la información
• Documento de política de seguridad de la información
• Revisión de la política de seguridad de la información

ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

• Organización interna
• Compromiso de administración para la seguridad de la información
• Coordinación de la seguridad de la información
• Asignación de responsabilidades de seguridad de la información
• Proceso de autorización para instalaciones de informática
• Acuerdos de confidencialidad
• Poner en contacto con autoridades
• Contacto con grupos de interés especiales
• Revisión independiente de seguridad de la información
• Partes externas
• Identificación de riesgos relacionados a partes externas
• Dirigir la seguridad cuando se trata con clientes
• Dirección de seguridad en acuerdos de terceras partes

ADMINISTRACION DE ACTIVO

• Responsabilidad de activo
• Inventario de activo
• Propiedad de activo
• Empleo aceptable de activo
• Clasificación de información
• Lineamientos de clasificación
• Etiquetaje de Información y manejo
• Seguridad de recursos humanos
• Antes de desarrollar
• Papeles y responsabilidades
• Selección
• Términos y condiciones de empleo
• Durante el empleo
• Administración de responsabilidades
• Conciencia de la seguridad de la información, educación y entrenamiento
• Proceso disciplinario
• Termino o cambio de empleo
• Terminación de responsabilidades
• Vuelta de activo
• Retiro de derechos de acceso
• Seguridad física y ambiental
• Áreas seguras
• Perímetro de seguridad físico
• Controles de entrada físicos
• Asegurando oficinas, cuartos e instalaciones
• Protección contra amenazas externas y ambientales
• Funcionamiento en áreas seguras
• Acceso público, entrega, y áreas que cargan
• Seguridad de equipo
• Emplazamiento de equipo y protección
• Utilidades de apoyo
• Cablegrafiar de seguridad
• Mantenimiento de equipo
• Seguridad de equipo fuera de la organización
• Disposición segura o reutilización de equipo
• Retiro de propiedad

GESTIÓN DE COMUNICACIONES Y OPERACIONES

• Operaciones y responsabilidades operativas
• Documentación de los procedimientos operativos
• Control de cambios
• Separación de obligaciones
• Separación entre instalaciones de desarrollo e instalaciones operativas
• Administración de entrega de servicios de terceros
• Servicios de entrega
• Monitoreo y revisión de entrega de servicios de terceros
• Administración de cambios de entrega de servicios de terceros
• Planeación y aprobación de sistemas
• Planificación de la capacidad
• Aprobación del sistema
• Protección contra software malicioso
• Controles contra software malicioso
• Back-up (Respaldo)
• Respaldo de información
• Administración de seguridad de la red
• Controles de redes
• Seguridad de servicios de red
• Manejo de los medios de comunicación
• Administración de medio removibles
• La disposición de medios
• Procedimiento de manejo de información
• Seguridad de la documentación del sistema
• Intercambio de información
• Políticas de cambio de información y procedimientos
• Acuerdo de intercambio
• Segurida