← España

En resumen

Esta ley establece un marco para evaluar y certificar la seguridad de las Tecnologías de la Información (TI) en España. Su objetivo es asegurar que los sistemas y productos de TI utilizados por la Administración y la industria tengan un nivel de seguridad comparable al de la información tradicional en papel, y que sean reconocidos internacionalmente.

Qué regula

A quién concierne

Puntos clave

📄 Texto legal
200 ok La utilización de las Tecnologías de la Información (TI) en amplias áreas de la actividad de la Administración, así como la creciente participación de España en proyectos de desarrollo de la sociedad de la información de carácter internacional, imponen la necesidad de garantizar un nivel de seguridad en la utilización de las TI equiparable, como mínimo, al conseguido en el tratamiento tradicional de la información en soporte papel. Por tanto, la seguridad que las TI deben poseer, ha de abarcar la protección de la confidencialidad, la integridad y la disponibilidad de la información que manejan los sistemas de información, así como la integridad y disponibilidad de los propios sistemas. La garantía de seguridad de las Tecnologías de la Información debe estar basada en el establecimiento de mecanismos y servicios de seguridad, adecuadamente diseñados, que impidan la realización de funciones no deseadas. Uno de los métodos, admitido internacionalmente, para garantizar la corrección y efectividad de dichos mecanismos y servicios, consiste en la evaluación de la seguridad de las TI, realizada mediante la utilización de criterios rigurosos, con posterior certificación por el organismo legalmente establecido. El Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, que acompaña a esta Orden Ministerial, regula el marco de actuación, y crea los organismos necesarios, para poner estos procesos de evaluación y certificación al alcance de la industria y de la Administración; todo ello basado en el Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. La carencia actual de un esquema análogo, puede suponer un importante obstáculo para la difusión y aceptación generalizada, tanto a nivel nacional como internacional, de los diferentes productos y sistemas de las Tecnologías de la Información desarrollados en nuestro país. En el contexto de los programas internacionales, no se puede entender criterios de evaluación y certificación de la seguridad de las TI que no sean homologables con los de otros países participantes. Por ello, es necesario la adopción de criterios internacionales, que permitan negociar el reconocimiento mutuo de certificados, resultando esencial que el Esquema al que se refiere el presente Reglamento, se equipare a los del resto de los países de nuestro entorno. Desde hace algunos años, en España, se ha venido sintiendo la necesidad de impulsar la creación de un esquema de esta naturaleza, habiéndose llevado a cabo diversas iniciativas para su constitución, desde el Consejo Superior de Informática y para el Impulso de la Administración Electrónica, en colaboración con el Centro Nacional de Inteligencia. También, en la Dirección General de Armamento y Material del Ministerio de Defensa, se creó un esquema orientado a satisfacer necesidades puntuales del Ministerio de Defensa. Asimismo, se creó un laboratorio de evaluación, el Centro de Evaluación de la Seguridad de las Tecnologías de la Información (CESTI) del Instituto Nacional de Técnica Aeroespacial (INTA). Este laboratorio fue acreditado, siguiendo este mismo Reglamento, como laboratorio de evaluación de la seguridad de las Tecnologías de la Información, por resolución 1AO/38272/2005, de 13 de octubre, del Centro Criptológico Nacional, y ha contribuido, de manera decisiva, a la creación y puesta en marcha de un esquema de funcionalidad completa. Paralelamente, España, como país consumidor de certificados, y a través del Ministerio de Administraciones Públicas, ha estado presente en el Arreglo de Reconocimiento Mutuo de Certificados Common Criteria (CCRA), desde su creación. En ese Ministerio, se ha sentido la necesidad de crear un único esquema nacional que abarcase todo el ámbito de la actividad de evaluación y certificación y que potenciase a España a la categoría de país productor de certificados Common Criteria. Por todo ello, la creación de un esquema nacional va a gozar, desde el principio, de aportaciones experimentadas y se va a encajar en un foro en el que su presencia es demandada. Por otra parte, se hace necesaria la participación de un organismo de certificación, que partiendo de un conocimiento de las Tecnologías de la Información y de las amenazas y vulnerabilidades existentes, proporcione una garantía razonable a los procesos de evaluación y certificación. Dicho organismo se constituye al amparo de la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, que encomienda a este Centro el ejercicio de las funciones relativas a la seguridad de las Tecnologías de la Información, y según lo dispuesto en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, entre cuyas funciones está la de constituir el Organismo de Certificación del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. En virtud de los preceptos indicados anteriormente, consultados los fabricantes e importadores del sector, y a propuesta conjunta de los Ministros de Defensa y de Industria, Turismo y Comercio, con la aprobación previa de la Ministra de Administraciones Públicas, dispongo: Artículo único. Aprobación del Reglamento. Se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información, cuyo texto se inserta a continuación. Disposición adicional única. Naturaleza y establecimiento de la contraprestación exigida por las acreditaciones y certificaciones. 1. Al amparo de lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos, los ingresos procedentes de las acreditaciones de laboratorios y de las certificaciones de productos, tienen la naturaleza de tasas. 2. Según lo establecido en el artículo 2.3 del Real Decreto 1287/2005, de 28 de octubre, por el que se modifica el Real Decreto 593/2002, de 28 de junio, que desarrolla el régimen económico presupuestario del Centro Nacional de Inteligencia, el establecimiento o modificación de la cuantía de los ingresos que tengan la naturaleza de tasas, así como la fijación de los diversos elementos de la correspondiente relación jurídico-tributaria, se harán con arreglo a lo dispuesto en la Ley 8/1989, de 13 de abril, de Tasas y Precios Públicos. Disposición final primera. Facultades de ejecución y aplicación. Se faculta al Secretario de Estado Director del Centro Criptológico Nacional del Centro Nacional de Inteligencia, para dictar cuantas instrucciones sean necesarias para la ejecución y aplicación de lo establecido en esta orden ministerial. Disposición final segunda. Entrada en vigor. La presente orden ministerial entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado». Madrid, 19 de septiembre de 2007.–La Vicepresidenta Primera del Gobierno y Ministra de la Presidencia, M.ª Teresa Fernández de la Vega Sanz. REGLAMENTO DE EVALUACIÓN Y CERTIFICACIÓN DE LA SEGURIDAD DE LAS TECNOLOGÍAS DE LA INFORMACIÓN CAPÍTULO I Disposiciones generales Artículo 1. Objeto. El presente Reglamento tiene por objeto la articulación del Organismo de Certificación (OC) del Esquema Nacional de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información (ENECSTI) en el ámbito de actuación del Centro Criptológico Nacional, según lo dispuesto en la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de Inteligencia, y en el Real Decreto 421/2004, de 12 de marzo, por el que se regula el Centro Criptológico Nacional, respectivamente. Artículo 2. Definiciones. En el marco del presente Reglamento, los conceptos que a continuación se indican, se entenderán como están definidos. Acreditación.–Declaración de conformidad de los laboratorios solicitantes, emitida por el Organismo de Certificación, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV, del presente Reglamento. Acreditación de competencia técnica.–Es aquella acreditación que concede una entidad de acreditación reconocida a un laboratorio, conforme a lo regulado en la Ley 21/1992, de 16 de julio, de Industria y en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial, y en base al cumplimiento, por parte del laboratorio, de la norma UNE-EN ISO/IEC 17025. En su alcance se deberán incluir las normas de evaluación de la seguridad de los productos y sistemas de Tecnologías de la Información aprobadas por el Organismo de Certificación. Certificación.–Es la determinación, obtenida mediante un proceso metodológico de evaluación, de la conformidad de un producto con unos criterios preestablecidos. Declaración de seguridad.–Conjunto de requisitos y especificaciones de las propiedades de seguridad de un producto o sistema de las Tecnologías de la Información. Evaluación.–Es el análisis, realizado mediante un proceso metodológico, de la capacidad de un producto o sistema de las Tecnologías de la Información para proteger las condiciones de la información de acuerdo a unos criterios establecidos, con objeto de determinar si puede ser certificado. Información de las evaluaciones.–Es todo asunto, acto, documento, dato u objeto relacionado con la actividad de evaluación de la seguridad de un producto. La información de las evaluaciones incluye toda la documentación, programas de ordenador, esquemas, planos y demás datos suministrados por el fabricante, los programas de ordenador, planes, pruebas, análisis y resultados de la evaluación elaborados por el laboratorio, así como toda la documentación administrativa y contractual y las comunicaciones del laboratorio con el fabricante del producto y con el Organismo de Certificación, además de los registros de la actividad del laboratorio, incluyendo los de seguridad. Producto a evaluar.–Es el producto, sistema de información o perfil de protección para el que se solicita una certificación de sus propiedades de seguridad. Producto clasificado.–Son aquellos productos con requisitos específicos para manejar con seguridad materias clasificadas, o cuya información de especificación, diseño o desarrollo está clasificada, incluso parcialmente, según lo dispuesto en la Ley 9/68, de 5 de abril, sobre Secretos Oficiales, modificada por la Ley 48/78, de 7 de octubre. Laboratorio de evaluación.–Es un laboratorio de ensayo, según se define en el Real Decreto 2200/1995, de 28 de diciembre, por el que se aprueba el Reglamento de la infraestructura para la calidad y seguridad industrial. Sistema de información.–Es el conjunto de elementos «hardware», «software», datos y usuarios que, relacionados entre sí, permiten el almacenamiento, transmisión, transformación y recuperación de la información. Artículo 3. Ámbito de aplicación. El ámbito de actuación del Organismo de Certificación comprende las entidades públicas o privadas que quieran ejercer de laboratorios de evaluación de la seguridad de las TI en el marco del Esquema. También comprende a estas entidades cuando sean fabricantes de productos o sistemas de TI que quieran certificar la seguridad de dichos productos, en el marco del Esquema. Todo ello, siempre que dichos productos o sistemas sean susceptibles de ser incluidos en el ámbito de actuación del Centro Criptológico Nacional. CAPÍTULO II Estructura y funciones del organismo de certificación Sección 1.ª Estructura del organismo de certificación Artículo 4. Estructura. A los efectos de funcionamiento del Organismo de Certificación, su estructura será la siguiente: a) Director del Organismo de Certificación, que será el Secretario de Estado Director del Centro Criptológico Nacional. b) Secretario General del Organismo de Certificación, que será el Secretario General del Centro Criptológico Nacional. c) Subdirector de Certificación, que será un funcionario del Centro Nacional de Inteligencia, con rango de Subdirector General, designado por el Director del Organismo de Certificación. d) Jefe del Área de Certificación, que será un funcionario del Centro Criptológico Nacional, con rango de Subdirector General Adjunto, designado por el Subdirector de Certificación. e) Los correspondientes Responsables, Técnico de Certificación, de Calidad, de Seguridad, y de Registro, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación. f) Personal técnico de certificación, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación. g) Personal de enlace con los servicios de Secretaría, y demás personal de soporte administrativo a las actividades del Organismo de Certificación, que serán funcionarios del Centro Criptológico Nacional designados por el Jefe del Área de Certificación. Figura 1. Estructura del Organismo de Certificación Sección 2.ª Funciones de los cargos del organismo de certificación Artículo 5. Director del Organismo de Certificación. Corresponde al Director del Organismo de Certificación: a) Aprobar y hacer cumplir las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación, garantizando la adecuación de la organización y de los medios materiales y humanos a los fines propuestos. b) Dictar las resoluciones sobre las solicitudes de acreditación de laboratorios y de certificación de la seguridad de productos y sistemas de las Tecnologías de la Información. c) Establecer los acuerdos oportunos con otros organismos similares en el ámbito de su competencia. Artículo 6. Secretario General del Organismo de Certificación. Corresponde al Secretario General del Organismo de Certificación: a) Apoyar y asistir al Director del Organismo de Certificación en el ejercicio de sus funciones. b) Establecer los mecanismos y sistemas de organización del Organismo de Certificación y determinar las actuaciones precisas para su actualización y mejora. c) Dirigir el funcionamiento de los servicios comunes del Organismo de Certificación a través de las correspondientes instrucciones y órdenes de servicio. d) Desempeñar la jefatura superior del personal del Organismo de Certificación, elaborar la propuesta de relación de puestos de trabajo y determinar los puestos vacantes a proveer durante cada ejercicio. Artículo 7. Subdirector de Certificación. Corresponde al Subdirector de Certificación: a) Presidir el Consejo de Acreditación y Certificación, conforme a lo establecido en el presente Reglamento. b) Representar al Organismo de Certificación en aquellos foros de índole técnica, de normalización y de divulgación de las actividades del citado organismo, de las normas aplicables y en los de arreglos y acuerdos de reconocimiento mutuo. c) Revisar las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación. d) Proponer los presupuestos y planes de formación anuales del Organismo de Certificación. Artículo 8. Jefe del Área de Certificación. Corresponde al Jefe del Área de Certificación: a) Desempeñar la dirección de los servicios técnicos del Organismo de Certificación. b) Dirigir las instrucciones y procedimientos de acreditación de laboratorios y de certificación de productos. c) Elevar las correspondientes propuestas de resolución a las mencionadas solicitudes de acreditación y certificación. d) Instruir, de oficio, los procedimientos de mantenimiento de la acreditación de los laboratorios. Artículo 9. Responsable Técnico de Certificación. Corresponde al Responsable Técnico de Certificación: a) Apoyar y asistir al Jefe del Área de Certificación en el ejercicio de sus funciones. b) Coordinar y dirigir la actuación diaria del personal técnico del Organismo de Certificación. c) Realizar la asignación de personal técnico a la instrucción de cada solicitud de acreditación de laboratorio y de certificación de producto. d) Dictaminar las interpretaciones técnicas de normas, métodos y procedimientos de evaluación empleados, bien de oficio, o a instancia de los laboratorios. e) Elaborar o proponer las políticas, manuales y procedimientos que regulan la actuación del Organismo de Certificación. Artículo 10. Responsable de Calidad del Organismo de Certificación. Corresponde al Responsable de Calidad del Organismo de Certificación: a) Garantizar y auditar la ejecución del sistema de gestión de la calidad del Organismo de Certificación, con las funciones específicas en él indicadas. b) Proponer, al Jefe del Área de Certificación, las mejoras convenientes para la eficacia del sistema de gestión de calidad, tras su evaluación. Artículo 11. Responsable de Seguridad del Organismo de Certificación. Corresponde al Responsable de Seguridad del Organismo de Certificación: a) Garantizar y auditar la ejecución del sistema de gestión de la seguridad del Organismo de Certificación, con las funciones específicas en él indicadas. b) Proponer, al Jefe del Área de Certificación, las mejoras convenientes para la eficacia del sistema de gestión de la seguridad, tras su evaluación. Artículo 12. Responsable de Registro del Organismo de Certificación. Corresponde al Responsable de Registro del Organismo de Certificación, la gestión y custodia de los registros de calidad, seguridad, certificación y acreditación, manejados por el Organismo de Certificación. Artículo 13. Personal técnico del Organismo de Certificación. Corresponde al personal técnico del Organismo de Certificación, el desarrollo de la instrucción de los expedientes de acreditación de laboratorio y de certificación de productos, practicando las pruebas conforme a los medios y procedimientos establecidos por el Organismo de Certificación. Sección 3.ª Consejo de acreditación y certificación Artículo 14. Naturaleza. El Consejo de Acreditación y Certificación es un órgano colegiado, distinto e independiente del Organismo de Certificación, regido por lo establecido en el Capítulo II del Título II, de la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común y, por lo establecido en el presente Reglamento. Artículo 15. Composición. Corresponde al Subdirector de Certificación la presidencia del Consejo de Acreditación y Certificación. Formarán parte como miembros del Consejo, los siguientes: a) El Jefe del Área de Certificación, que podrá asumir la presidencia del Consejo por delegación del Subdirector de Certificación. b) El Responsable Técnico de Certificación, que hará las veces de Secretario del Consejo. c) Un representante del Ministerio de Defensa, cuyo nombramiento y asistencia solicitará el Organismo de Certificación a dicho Ministerio. d) Un representante del Ministerio de Industria, Turismo y Comercio, cuyo nombramiento y asistencia solicitará el Organismo de Certificación a dicho Ministerio. e) Un representante del Consejo Superior de Administración Electrónica, cuyo nombramiento y asistencia solicitará el Organismo de Certificación a dicho Consejo. f) Un representante de cada laboratorio acreditado, nombrado por dicho laboratorio. g) Dos representantes de los sectores empresariales de fabricantes, importadores e integradores de productos y sistemas de las Tecnologías de la Información, a propuesta razonada y acordada de dichos sectores. Artículo 16. Fines. Corresponde al Consejo de Acreditación y Certificación: a) Vigilar que la normativa del Organismo de Certificación se corresponda y equipare con los términos y referencias de esquemas de certificación equivalentes, que pudieran existir en el ámbito de la Unión Europea en particular, y en el ámbito internacional, en general. b) Asesorar al Organismo de Certificación en la evolución de sus procedimientos documentados, orientando la gestión de éste, al mejor servicio del tejido industrial y empresarial de fabricantes, importadores e integradores de productos y sistemas de Tecnologías de la Información. c) Asesorar al Organismo de Certificación en la identificación de esquemas, arreglos o acuerdos, donde la defensa de la validez y reconocimiento mutuo de los certificados emitidos sea de interés para la Administración y el sector privado español. Artículo 17. Atribuciones. Las atribuciones del Consejo de Acreditación y Certificación son las siguientes: a) Estar permanentemente informado de la normativa que regula el funcionamiento del Organismo de Certificación, incluyendo sus normas de evaluación y certificación, manuales, procedimientos e instrucciones técnicas. b) Estar permanentemente informado de la relación de laboratorios acreditados y de productos certificados. c) Estar permanentemente informado de la relación de esquemas de certificación de la seguridad de los productos y sistemas de información, con los que el Organismo de Certificación tiene establecidos arreglos o acuerdos de reconocimiento mutuo de certificados. d) Proponer directrices y recomendaciones al Organismo de Certificación, que serán recogidas en las correspondientes actas de las reuniones del Consejo, a las que deberá dar cumplida respuesta el Director del Organismo de Certificación. Artículo 18. Periodicidad de las reuniones. El Consejo de Acreditación y Certificación se reunirá, como mínimo, una vez al año, sin perjuicio de que en atención a las necesidades derivadas del cumplimiento de sus fines y atribuciones, requiera de una mayor frecuencia en las reuniones. Las reuniones se convocarán a requerimiento del Organismo de Certificación, o por acuerdo del propio Consejo de Acreditación. Sección 4.ª Acreditación y certificación Artículo 19. Acreditación de laboratorios. El Organismo de Certificación acredita a los laboratorios solicitantes, en base al cumplimiento de los requisitos establecidos en el Capítulo III, y según el procedimiento establecido en el Capítulo IV de este Reglamento. Artículo 20. Certificación de productos. El Organismo de Certificación certifica la seguridad de los productos y sistemas de Tecnologías de la Información, según lo establecido en el procedimiento del Capítulo V, y atendiendo a los criterios, métodos y normas de evaluación de la seguridad, establecidos en el Capítulo VI. Artículo 21. Publicaciones del Esquema. El Organismo de Certificación mantendrá actualizada la relación de laboratorios acreditados y la de productos y sistemas de las Tecnologías de la Información certificados. Dicha relación se podrá consultar en la siguiente dirección electrónica: http://www.oc.ccn.cni.es. CAPÍTULO III Requisitos de acreditación de laboratorios Artículo 22. Requisitos generales para la acreditación de laboratorios. 1. Para la acreditación de los laboratorios de evaluación de la seguridad de las Tecnologías de la Información se requerirá el cumplimiento de los siguientes requisitos: a) Capacidad para la evaluación de la seguridad de productos de las Tecnologías de la Información, demostrada mediante la acreditación de la competencia técnica en vigor, conforme a la norma UNE-EN ISO/IEC 17025, cuyo alcance incluya los criterios, métodos y normas de evaluación recogidos en el Capítulo VI. b) Cumplimiento de los requisitos de seguridad establecidos en la Sección 1.ª o en la Sección 2.ª de este Capítulo, según corresponda. c) Desarrollo de las evaluaciones de acuerdo a procedimientos que recojan las obligaciones de información y coordinación con el Organismo de Certificación, indicadas en la Sección 3.ª de este mismo Capítulo. 2. La comprobación del cumplimiento de estos requisitos se realizará mediante el procedimiento de auditoría y seguimiento indicado en las Secciones 4.ª y 5.ª del Capítulo IV. En todo caso, el alcance de la acreditación, otorgada por el Organismo de Certificación, estará limitado por el alcance de la acreditación de la competencia técnica del laboratorio, y cualificado por el nivel de seguridad del mismo. 3. Salvo en los casos en que haya una compartimentación organizativa, de medios y de procedimientos, aprobada por el Organismo de Certificación, el laboratorio deberá cumplir con los requisitos de gestión de seguridad, necesarios para la acreditación, incluso en el desarrollo de aquellas evaluaciones cuyo objeto final no sea la certificación del producto evaluado por parte del Organismo de Certificación. Sección 1.ª Requisitos de seguridad para laboratorios que evalúen productos clasificados Artículo 23. Requisitos de laboratorios que evalúen productos clasificados. Los laboratorios, tanto de titularidad pública como privada, que pretendan evaluar productos clasificados deberán cumplir, además de los requisitos establecidos para los laboratorios que evalúen productos no clasificados, lo dispuesto en la Orden Ministerial Comunicada 17/2001, de 29 de enero, por la que se aprueba el Manual de Protección de Materias Clasificadas del Ministerio de Defensa en poder de las empresas. Asimismo, deberán tener suscrito, y en vigor, Acuerdo de Seguridad, con un grado de calificación de seguridad igual o superior al grado de calificación de seguridad de la información del producto a evaluar. Sección 2.ª Requisitos de seguridad para laboratorios que evalúen productos no clasificados Artículo 24. Requisitos de laboratorios que evalúen productos no clasificados. Los laboratorios, tanto de titularidad pública como privada, que evalúen productos no clasificados, cumplirán con los requisitos de gestión de la seguridad, aplicables a la información de las evaluaciones, establecidos en esta Sección. Subsección 1.ª Responsabilidades del laboratorio Artículo 25. Derecho de acceso a la información de las evaluaciones. El laboratorio facilitará al Organismo de Certificación el acceso a toda la información de las evaluaciones que lleve a cabo. El laboratorio deberá obtener, del Organismo de Certificación, autorización escrita antes de permitir a terceros, incluido el fabricante del producto evaluado, cualquier tipo de acceso a la información de las evaluaciones, tales como, planes, pruebas, análisis y resultados de la evaluación. El Organismo de Certificación podrá prohibir la difusión de determinada información originada por el laboratorio. Artículo 26. Plan de protección. 1. El laboratorio deberá elaborar, poner en práctica y mantener al día un Plan de Protección de la Información de las evaluaciones. 2. Este plan incluirá, al menos, la siguiente información: a) Una descripción del laboratorio, con indicación expresa de la ubicación, actividades empresariales distintas a las de evaluación, en su caso, organigrama, recursos humanos, factorías, sucursales y dependencias autónomas, incluyendo un plano con leyenda de las instalaciones del laboratorio. b) Los fundamentos del Plan, que deberán comprender los objetivos concretos que han de alcanzarse con el mismo y que estarán dirigidos a prevenir, detectar y rehabilitar el daño causado por la manifestación del riesgo, así como la identificación de los riesgos contra los que se pretende la protección. La confidencialidad, integridad y disponibilidad de la información de las evaluaciones serán del máximo interés para el Organismo de Certificación. c) La descripción de la organización, donde se debe documentar la estructura de seguridad del laboratorio, la matriz de responsabilidades donde se establece la identificación exacta de los responsables en lo referente a la toma de decisiones, y la definición detallada de las misiones de cada componente del sistema, así como la coordinación del apoyo potencial de organismo exteriores, tales como empresas de seguridad privada, centrales receptoras de alarmas, servicios de custodia de información, etc. d) La descripción de las medidas de protección física, y el establecimiento de zonas de acceso restringido en las distintas dependencias del laboratorio. e) Los Procedimientos Operativos de seguridad. f) La descripción de las reacciones específicas a cada incidente de seguridad, desarrollando la matriz de responsabilidades en los cometidos y misiones que este plan asigne a la dirección del laboratorio, a los que formen parte del Servicio de Protección del laboratorio y al resto de personal, en lo que respecta a decisiones y actuaciones ante los riesgos de seguridad que se manifiesten y que se hayan considerado. g) Los requisitos específicos de seguridad y los Procedimientos Operativos de seguridad de los sistemas de información del laboratorio. Artículo 27. Procedimientos Operativos de seguridad. 1. Los Procedimientos Operativos de seguridad incluirán, en forma de directivas, los detalles específicos de actuación encaminados a la prevención de riesgos. 2. Estas actuaciones se deben corresponder con la matriz de responsabilidades, tratando de forma concreta y específica los siguientes aspectos, relativos a requisitos de seguridad establecidos por las condiciones de acreditación del laboratorio: a) Las normas para el manejo y custodia de la información de las evaluaciones. b) El tratamiento de las visitas, verificando periódicamente la eficacia del control de visitas al laboratorio, así como el correcto uso del libro de visitas o sistema alternativo. c) La entrada en las zonas de acceso restringido. d) El acceso, transmisión, reproducción, archivo y destrucción de información de las evaluaciones, con el establecimiento de los mecanismos necesarios que permitan identificar, en todo momento, al responsable de la tenencia de la información. e) La regulación de las necesarias comprobaciones de seguridad, tanto durante la jornada de trabajo como al término de la misma. f) La descripción del sistema de control de llaves. g) El establecimiento del sistema de recibo interno, para control de información de las evaluaciones. h) La operativa de actuación ante una incidencia de la central receptora de alarmas. i) Los procedimientos de actuación de los vigilantes de seguridad. Artículo 28. Personal del laboratorio. El laboratorio deberá mantener actualizado un registro de seguridad de todo el personal afecto al mismo. El laboratorio regulará, en base a la necesidad de conocer, el acceso de dicho personal a la información de las evaluaciones. Las autorizaciones de acceso a la información de las evaluaciones se comunicarán y revocarán por escrito, adjuntándose dichas comunicaciones al registro de seguridad del personal. Artículo 29. Comunicaciones preceptivas al Organismo de Certificación. El laboratorio deberá informar al Organismo de Certificación, en el plazo más breve posible, de lo siguiente: a) Sobre toda información que llegue a su conocimiento en relación con accesos, o intentos de acceso, no autorizados a información de las evaluaciones; actos de sabotaje, o actividades que supongan un riesgo para dicha información. b) Sobre toda anomalía, extravío, robo o manipulación relacionada con la información de las evaluaciones. c) Sobre la presunción de que una transmisión de información de las evaluaciones haya sufrido vulneración o retraso injustificado. d) Sobre las modificaciones que pretenda realizar en las zonas de acceso restringido. e) Sobre las visitas que reciba conforme a lo que se expresa en la Subsección 5.ª, presente Capítulo y Sección. f) Sobre las modificaciones del Plan de Protección, así como de las altas y bajas de personal y sobre la composición y cambios del Servicio de Protección. Artículo 30. Relaciones del laboratorio con contratistas. Los requisitos de seguridad requeridos por la acreditación del laboratorio, son también de aplicación a los contratistas del mismo que vayan a acceder a información de las evaluaciones. El laboratorio deberá obtener, del Organismo de Certificación, autorización escrita antes de proporcionar al contratista el acceso a información de las evaluaciones. En su solicitud, comunicará los datos de identificación del contratista, así como la información de las evaluaciones a las que pudiera tener acceso, y el objeto y condiciones específicas de dicho acceso. Como norma general, para la concesión de la autorización de acceso, el contratista deberá demostrar el cumplimiento de los requisitos de seguridad establecidos en el presente Reglamento mediante auditoría del Organismo de Certificación, conforme al procedimiento establecido en el Capítulo IV, salvo en los casos en que el Organismo de Certificación determine la aplicación de condiciones o limitaciones particulares a dicho acceso. Subsección 2.ª Tratamiento de la información de las evaluaciones Artículo 31. Distintivos. 1. Toda información de las evaluaciones llevará, de forma clara y visible, un signo distintivo de tal condición, que indicará la evaluación a la que corresponde. 2. Si se trata de documentos sueltos, se pondrá el signo distintivo en la parte superior e inferior de cada una de las páginas, centrado en las mismas, de tal forma que no pueda quedar oculto por dobleces, grapas, cubiertas, etc. 3. Si se trata de documentos permanentemente unidos o encuadernados, se pondrá el mencionado distintivo en la cubierta anterior y posterior, así como en todas sus páginas, conforme a lo indicado anteriormente. 4. Si se trata de planos, diagramas, esquemas o documentos similares, dicho distintivo se situará en la carátula y en la parte que identifique el documento. 5. Los soportes y sistemas informáticos que contengan o procesen información de las evaluaciones, se marcarán con los distintivos apropiados, para lo cual podrán emplearse etiquetas o cintas adhesivas. 6. Se seguirán procedimientos análogos para la protección de la información de las evaluaciones soportada en cualquier elemento, o conjunto de elementos, físicamente separables. Artículo 32. Libro registro de información de las evaluaciones. 1. En cada dependencia del laboratorio donde se custodie información de las evaluaciones, existirá un registro donde figurará toda la información de las evaluaciones que haya tenido entrada o salida, las reproducciones y destrucciones, así como el acceso a dicha información por personal, tanto propio, como ajeno al laboratorio, con independencia de si esta información se almacena o transmite en papel o en soporte electrónico. 2. El registro se podrá mantener en soporte informático, en soporte papel (en forma de libro) o en una combinación de ambos soportes. 3. Estos registros deberán ser custodiados con la debida protección electrónica, si están en soporte informático, o en los muebles de seguridad ubicados en la zona de acceso restringido, si están en soporte papel. 4. El laboratorio deberá implementar los mecanismos correspondientes para que el registro de entrada/salida mediante soporte electrónico no se pueda eludir por el personal del mismo. Artículo 33. Recepción y recibo de la información de las evaluaciones. Cuando se reciba cualquier información de las evaluaciones, se seguirá el siguiente proceso: a) Se examinará el envío para asegurarse de que no ha sido violado, comprobándose el contenido contra recibo. La evidencia de violación y las anomalías que se observen en el contenido deberán notificarse, cuanto antes, al remitente y al Organismo de Certificación. b) Cuando el envío esté en orden, se firmará el recibo y se devolverá debidamente cumplimentado al remitente, realizando de manera inmediata la anotación en el libro registro. Artículo 34. Transmisión de la información de las evaluaciones. 1. Se entiende por transmisión de la información de las evaluaciones, su traslado, comunicación, envío, entrega o divulgación a terceros. 2. Será necesario que la transmisión y custodia de la información de las evaluaciones sea controlada por un sistema de recibos, incluso dentro de las dependencias del laboratorio, con el fin de identificar, en cualquier momento, al responsable de su tenencia. 3. Cuando se trate de transmisión no electrónica de información de las evaluaciones, se realizará de la siguiente forma: a) Por entrega directa del personal del laboratorio. b) Por correo certificado nacional. c) Por transportistas comerciales. d) El embalaje de la información se llevará a cabo de forma que se pueda detectar su apertura; con cubiertas opacas que impidan desvelar su contenido, de tal naturaleza y resistencia, que aseguren su integridad durante el transporte; y, dicho embalaje, no tendrá ninguna indicación externa de la información contenida. 4. Cuando se trate de transmisión electrónica de información de las evaluaciones, se realizará utilizando las medidas técnicas y operacionales de protección de su confidencialidad que determine, en cada caso, el Organismo de Certificación. Artículo 35. Reproducción de la información de las evaluaciones. 1. El número de reproducciones de la información de las evaluaciones, será el mínimo imprescindible. Se controlará mediante una correlativa numeración, que se recogerá en el registro, como anotación suplementaria del correspondiente original, indicando todos los datos referentes a dichas reproducciones y a la situación de cada una de ellas. 2. Cada reproducción, total o parcial, de información de las evaluaciones deberá ser numerada y tratada, a todos los efectos, como el original. 3. La reproducción de información de las evaluaciones deberá realizarse directamente por el laboratorio, sin recurrir a contratistas de artes gráficas. Se deberá comprobar, después de realizar las reproducciones, que en el mecanismo de reproducción no queda registro de la información reproducida. Artículo 36. Custodia y destrucción de la información de las evaluaciones. 1. El laboratorio custodiará, por un plazo mínimo de cinco años, toda la información de cada evaluación, a contar desde la fecha de emisión del certificado correspondiente, o de la emisión del último informe técnico de evaluación, en el caso de productos no certificados. 2. En el caso de reevaluaciones, mantenimiento o extensiones del certificado, el cómputo de cinco años se referirá siempre al último certificado o informe técnico de evaluación aplicable. 3. Pasado dicho plazo, y tras obtener del Organismo de Certificación autorización escrita, procederá a su destrucción, de forma que se garantice que la información de las evaluaciones queda irreconocible y se impida su reconstrucción, total o parcial. 4. El Organismo de Certificación, previo a la autorización de destrucción, podrá requerir al laboratorio el traslado de cuanta información de las evaluaciones sea de su interés. Artículo 37. Inventario anual. El laboratorio presentará ante el Organismo de Certificación, antes del diez de enero de cada año, un inventario anual de toda la información de las evaluaciones que obran en su poder a fecha treinta y uno de diciembre del año anterior. Subsección 3.ª Servicio de Protección de la información de las evaluaciones Artículo 38. Miembros del Servicio de Protección. 1. En la organización del laboratorio, el Servicio de Protección de la información de las evaluaciones estará constituido, al menos, por el jefe del Servicio de Protección, el director del Servicio de Protección y el administrador de seguridad del sistema de información. 2. Los miembros del Servicio de Protección nombrados en el párrafo anterior son los responsables, ante el Organismo de Certificación, de la correcta aplicación de los requisitos de seguridad indicados, por ello deben contar con el adecuado grado de representatividad y autoridad, dentro de la organización del laboratorio. 3. Sus funciones de seguridad no podrán quedar disminuidas en ningún momento, aún cuando desempeñen otros cometidos en el laboratorio, debiendo contar con los medios necesarios para realizar sus funciones con eficacia. Artículo 39. Condiciones personales y nombramiento. 1. Los responsables del Servicio de Protección deberán tener dependencia directa de la dirección del laboratorio, una relación laboral estable sobre la base de continuidad en su función y se les reconocerá, dentro del laboratorio, la debida autoridad en el desempeño de sus cometidos. Deberán gozar de prestigio personal y profesional, y tener un amplio conocimiento de la organización del laboratorio. 2. El nombramiento y cese de los responsables del Servicio de Protección se comunicará por escrito, reconocido expresamente, en el que constarán las misiones de la responsabilidad asignada. 3. La inadecuación en el desarrollo, o la inobservancia, de las misiones encomendadas a los responsables del Servicio de Protección, podrá motivar su cese, cuando el Organismo de Certificación así lo demande, previa notificación por escrito, y sin perjuicio de la exigencia de otras responsabilidades que se pudieran derivar. Artículo 40. Director del Servicio de Protección. 1. Cuando el laboratorio designe varios jefes del Servicio de Protección de la información de las evaluaciones, uno por cada una de las sedes donde se maneje o custodie información de las evaluaciones, deberá nombrar un director del Servicio de Protección, cuya misión principal será coordinar la actuación de dichos jefes, así como de los distintos administradores de seguridad del sistema de información, sin que esto suponga merma alguna de las responsabilidades que a éstos corresponde. 2. El cargo de director del Servicio de Protección se podrá compatibilizar con el de jefe de dicho Servicio, en las dependencias donde se ubiquen las oficinas centrales del laboratorio. Artículo 41. Misiones del jefe del Servicio de Protección. 1. Corresponde al jefe del Servicio de Protección la misión de organizar, dirigir y controlar el sistema de protección para salvaguarda de la información de las evaluaciones, y la obligación de cumplir y hacer cumplir, en todas sus partes, estos requisitos de seguridad para la acreditación del laboratorio. 2. Entre los cometidos del jefe del Servicio de Protección se encuentran: a) Asegurar la protección de la información de las evaluaciones en poder del laboratorio. b) Regular el acceso a la información de las evaluaciones conforme a los criterios y procedimientos establecidos. c) Llevar a cabo un programa de formación del personal del laboratorio, con una periodicidad mínima de treinta (30) meses, cuyo principal objetivo será sensibilizar a dicho personal sobre la importancia de cumplir los procedimientos de protección de la información de las evaluaciones y el deber de discreción. d) Controlar la recepción, custodia, reproducción, destrucción y devolución de la información de las evaluaciones, conforme a los procedimientos establecidos. e) Velar, especialmente, para que ninguna información de las evaluaciones sea transmitida indebidamente, o sea manejada o custodiada en lugar distinto a las zonas protegidas. f) Elaborar, implantar y mantener el Plan de Protección conforme a lo establecido en este Reglamento. g) Mantener actualizados los registros de seguridad. Artículo 42. Misión del administrador de seguridad del sistema de información. 1. El administrador de seguridad del sistema de información tendrá como misión organizar, dirigir y controlar la seguridad del sistema de información del laboratorio. Este administrador podrá ser el propio jefe del Servicio de Protección, cuando tenga la formación adecuada. 2. Entre los cometidos del administrador de seguridad del sistema de información se encuentran: a) Elaborar, organizar e implementar los requisitos y procedimientos relativos a la seguridad de los sistemas de información del laboratorio, debiendo revisar, periódicamente, la eficacia de todos los componentes. b) Controlar que todo el personal que tiene acceso al sistema de información está debidamente autorizado. c) Investigar los incidentes de seguridad que pudieran afectar al sistema de información, evaluando en su caso, los daños causados e informando de las conclusiones al jefe del Servicio de Protección. d) Llevar a cabo un programa de formación continua de los usuarios del sistema de información, sobre la observancia de los procedimientos de seguridad. e) Gestionar y proporcionar los códigos de acceso u otros dispositivos de control de acceso al sistema de información. Llevará un registro de asignación de códigos a los usuarios, que serán cambiados con una periodicidad mínima de tres meses, y cada vez que se produzca, o se sospeche que haya ocurrido, un incidente de seguridad que comprometa dichos códigos. f) Realizar la gestión de claves del sistema de información del laboratorio, incluidos los sistemas de cifra que estuvieran en el ámbito de su competencia, así como la de los sistemas de soporte a la evaluación. Para ello, controlará su generación, almacenamiento, distribución, expiración y destrucción. En la recepción de nuevos equipos modificará todas las claves que, por defecto, vengan de fábrica. g) Controlar tanto las modificaciones que se realicen en cualquier componente del sistema de información, asegurándose que no se vea afectada la seguridad del sistema, como los aspectos de la gestión de la configuración de dichas modificaciones. h) Comprobar que el mantenimiento del sistema de información se realiza conforme a los procedimientos y requisitos operativos de seguridad. i) Verificar que los soportes de almacenamiento que incluyan información de las evaluaciones se custodian debidamente. j) Evaluar los registros de seguridad del sistema de información, asegurándose que son suficientes para llevar a cabo un control eficaz. Deberán incluir aquellas actividades, con indicación del usuario, hora y fecha, en que se produzcan hechos que puedan afectar a la seguridad del sistema, como finalizaciones anormales del trabajo, cierres indebidos del sistema, fallos en los mecanismos de seguridad, intentos no autorizados de acceso a datos de la evaluación, uso del sistema de un modo no autorizado, copias e impresiones de la información de las evaluaciones, etc. k) Controlar y registrar las copias periódicas de seguridad. Subsección 4.ª Inspecciones de seguridad Artículo 43. Inspectores de seguridad. Los inspectores de seguridad son los representantes del Organismo de Certificación, ante el laboratorio, para la comprobación de la correcta aplicación de los requisitos de seguridad exigidos en el proceso de acreditación. El laboratorio les reconocerá las competencias que les atribuyen estos requisitos, asumiendo el compromiso de facilitarles su labor, y dispondrá los medios precisos para que realicen sus funciones con eficacia. Artículo 44. Nombramiento. El Organismo de Certificación notificará al laboratorio la identidad del inspector de seguridad correspondiente, así como los cambios que se produzcan. El nombramiento de inspector de seguridad, para un mismo laboratorio, podrá recaer en varias personas, si el Organismo de Certificación así lo estima oportuno. Artículo 45. Misiones del inspector de seguridad. Corresponde al inspector de seguridad: a) La observancia del exacto cumplimiento de las obligaciones y compromisos que contrae el laboratorio en el proceso de acreditación. b) Asesorar al laboratorio en la puesta en práctica de los procedimientos de seguridad, que garanticen la protección de la información de las evaluaciones. Artículo 46. Inspecciones. 1. La inspección constituye uno de los medios por los que el Organismo de Certificación comprueba el cumplimiento, por parte del laboratorio, de los requisitos de seguridad para la acreditación. 2. Las inspecciones serán ordinarias cuando se realizan de forma periódica, por los inspectores de seguridad nombrados específicamente para cada laboratorio. Las inspecciones ordinarias no precisan concertación previa. 3. Las inspecciones extraordinarias se realizarán cuando el Organismo de Certificación lo estime conveniente, y serán llevadas a cabo por las personas que éste designe. Las inspecciones extraordinarias se comunicarán previamente al laboratorio. 4. En las inspecciones estarán obligados a estar presentes, el jefe del Servicio de Protección, o quien le sustituya, debidamente acreditado en el caso justificado de que el primero no pudiera asistir, y el personal dependiente del laboratorio que designe el Organismo de Certificación. 5. El inspector de seguridad, en las inspecciones ordinarias, o el jefe de la comisión del Organismo de Certificación, en las inspecciones extraordinarias, deberá anotar en el registro del laboratorio, un resumen del resultado de la inspección. En el caso de presentar aspectos negativos, se remitirá al laboratorio la correspondiente comunicación, en la que se deberá reflejar el plazo de corrección para solventar las anomalías observadas por la inspección. Subsección 5.ª Visitas Artículo 47. Consideración de visita. Se considera visita, el acceso físico y circunstancial de una o varias personas, sin relación de dependencia directa con el laboratorio, a las dependencias o instalaciones del mismo. Artículo 48. Registro de visitas. Las visitas se anotarán en el registro de visitas, antes de efectuar la visita. Se deberán recoger, como mínimo, los siguientes datos: fecha de la visita, nombre completo del visitante, número del DNI o pasaporte, nacionalidad, empresa/organismo o dirección del visitante, y nombre de la persona visitada. Este registro estará a disposición del Organismo de Certificación, para su consulta. Artículo 49. Normas para el control de visitas. Para el control de las visitas, se seguirán las siguiente normas: a) El laboratorio controlará el movimiento de las visitas que entren en sus dependencias, para garantizar la debida seguridad de la información de las evaluaciones que custodie. b) Se prohibirá al visitante efectuar cualquier tipo de registro o reproducción de la información de las evaluaciones, que deberá solicitarse al personal del laboratorio y ser efectuado mediante los procedimientos correspondientes. c) Toda entrega al visitante de información de las evaluaciones será anotada en el registro. Artículo 50. Visitas de larga duración. Tendrán consideración de visitas de larga duración, las realizadas sobre la base de continuidad o reiteración, por un periodo de doce meses. Tales visitas se anotarán en el registro de seguridad de personal, incluyendo las autorizaciones de acceso a la información de evaluaciones que se pudieran conceder. Subsección 6.ª Zonas de acceso restringido Artículo 51. Sistema de protección. 1. El laboratorio implantará un sistema de protección, integrado en la estructura empresarial, que permita proteger la información de las evaluaciones contra los riesgos que puedan implicar una amenaza para la misma. 2. El sistema de protección puede entenderse como el conjunto de recursos y procedimientos que, interactuando coordinadamente, tienen como finalidad proteger la información de las evaluaciones de los riesgos que puedan afectar a su integridad, confidencialidad o disponibilidad. Artículo 52. Características del sistema de protección. El documento donde se definen las características que presenta el sistema de protección es el Plan de Protección, definido en el Artículo 26. El laboratorio deberá adjuntar, al Plan de Protección, un proyecto del subsistema de protección física, que estará compuesto por una memoria justificativa de los criterios de diseño, la descripción detallada de todos los componentes de la instalación y los planos que especifiquen la ubicación física de los mencionados componentes. Artículo 53. Subsistema de protección física. El subsistema de protección física, que ha de instalarse, obligatoriamente, en las dependencias del laboratorio donde se vaya a manejar información de las evaluaciones, ha de mantenerse en un óptimo grado de eficacia y utilidad para el cumplimiento de las condiciones de acreditación del laboratorio. La valoración de dicha eficacia y utilidad corresponde al Organismo de Certificación. Las áreas de acceso restringido, que deberá considerar el subsistema de protección física, están compuestas por las zonas de evaluación y las zonas de protección. Artículo 54. Zonas de evaluación. Las zonas de evaluación son las constituidas por aquellas dependencias del laboratorio en las que, únicamente, se debe manejar y custodiar información de las evaluaciones, con las siguientes características: a) Ha de estar construida de forma que quede limitado, materialmente, el acceso a la misma, y de manera que se pueda apreciar, con una simple inspección, una intrusión a través de las paredes, suelo, puertas o ventanas que delimiten la zona. Estos elementos no deben permitir la observación desde el exterior. b) Las puertas de acceso deben disponer de una cerradura de bloque con llave, cuyo mecanismo será obligatoriamente accionado, cuando en el interior se esté trabajando con información de las evaluaciones, así como cuando no haya nadie en la misma. También dispondrán de un dispositivo que obligue a la puerta a permanecer cerrada, cuando no se esté franqueando, y dispondrán de detector de apertura. c) Si se incluyen ventanas, deben colocarse dispositivos que detecten su apertura, en el caso de ser practicables, así como detectores de rotura de cristales. Los elementos translúcidos deberán estar acondicionados para impedir la observación desde el exterior. En el caso de que las ventanas tengan fácil acceso desde el exterior, estarán físicamente protegidas. d) Se implantarán medidas físicas y organizativas para impedir el acceso a la zona de evaluación, al personal que no tenga derecho de acceso a la información de las evaluaciones y, en el caso en que se divida esta zona por evaluaciones, al personal que no tenga derecho de acceso, en particular, a la información de la evaluación asociada a cada división. e) Deberá contar con una caja fuerte Nivel IV, conforme a la norma UNE-EN 1143-1-98, equipada con cerradura Clase B, según norma EN 1300, donde se custodiará, obligatoriamente, la información de las evaluaciones durante los períodos de tiempo en que no se esté manejando. Deberá reunir, además, las características siguientes: Si se trata de caja fuerte autónoma, ha de estar anclada si su volumen es inferior a 500 litros, o si su peso no supera los 1.000 Kg. Si se trata de caja fuerte empotrada, el grado de seguridad del alojamiento donde se ubique ésta ha de proporcionar, como mínimo, el atribuido al de la puerta y marco de la caja. Doble sistema de apertura, uno de los cuales ha de ser, ineludiblemente, de combinación electrónica. Artículo 55. Zonas de protección. Las zonas de protección son las constituidas por el entorno de las zonas de evaluación en el que no se podrá manejar o custodiar información de las evaluaciones, pero que estarán dotadas de medidas de seguridad, con la finalidad de incrementar la seguridad de las zonas de evaluación y tendrán las siguientes características: a) Su ubicación dependerá de las características constructivas y de la situación de la zona de evaluación. b) En cualquier caso, se implementarán las medidas físicas y organizativas suficientes para que el personal que acceda a la zona de protección esté identificado. Artículo 56. Central de alarmas. Además de los requisitos establecidos en los artículos 54 y 55, las zonas de evaluación y de protección dispondrán de las siguientes medidas de seguridad: a) Todos los medios activos de seguridad deben estar conectados físicamente a un centro de control de alarmas, que disponga de una autonomía mínima de setenta y dos horas, provista de un dispositivo antisabotaje y ubicada de manera oculta. b) Este centro de control quedará activado, obligatoriamente, fuera del horario laboral y estará conectado con una central receptora de alarmas, que pueda gestionar cualquier alarma de forma oportuna. c) La conexión con la central receptora de alarmas debe permitir la verificación automática de la línea de comunicación, para poder conocer oportunamente una interrupción en la misma, a través de la correspondiente señal de alarma. La operativa de la gestión de la central receptora de alarmas deberá estar incluida en el Plan de Protección. d) Los códigos de acceso de la central de alarmas, que permiten su programación y control, deberán ser conocidos, únicamente, por el jefe del Servicio de Protección y las personas por él designadas. Dicha designación quedará anotada en el registro de seguridad del personal. Los códigos deberán modificarse con los criterios indicados en el artículo 57, referido a «Combinaciones, códigos de acceso y control de llaves», que sigue. Subsección 7.ª Procedimiento de seguridad Artículo 57. Combinaciones, códigos de acceso y control de llaves. 1. Sólo tendrán conocimiento de los códigos de acceso a las zonas de evaluación, de las claves de control de la central de alarmas, así como de las combinaciones de los lugares de custodia de la información de las evaluaciones, el jefe del Servicio de Protección y las personas que él designe, que serán las mínimas imprescindibles. 2. Las llaves de las cajas fuertes no podrán salir de la sede del laboratorio bajo ningún concepto, debiendo guardarse de forma oculta y segura, y en distinto lugar al que se custodien las claves de combinación para la apertura de las mismas. 3. Deberá ocultarse la identificación del fabricante, modelo, año de construcción u otros datos que puedan facilitar un conocimiento de las características de las cajas fuertes a las que se refieren. 4. Las claves de combinación para la apertura de las cajas fuertes y los códigos de control de la central de alarmas no deben conservarse en claro, sino de manera cifrada, debiendo ser modificados, obligatoriamente, en los siguientes casos: a) Al recibirse los muebles de seguridad e instalarse la central de alarmas, modificando las claves y códigos que traen de fábrica. b) Cada seis meses. c) Cuando se produzca un cambio en las personas que hayan tenido acceso a las mismas, incluido el personal de las empresas de mantenimiento. d) Cada vez que se produzca, o se sospeche que haya ocurrido, un incidente de seguridad que comprometa las claves o los códigos. Artículo 58. Acceso físico a la información de las evaluaciones. Cuando se precise el acceso físico a la información de las evaluaciones, el jefe del Servicio de Protección de la información, o persona designada por él, pondrá dicha información a disposición de los empleados del laboratorio que cuenten con las debidas autorizaciones de acceso a la misma, la cual deberá ser manejada exclusivamente en la zona de evaluación, estando bajo la responsabilidad de estas personas su custodia y control. Una vez finalizado el manejo, se devolverá inmediatamente a la persona que hizo entrega de la misma, siendo almacenada en su lugar de custodia, donde permanecerá obligatoriamente. Artículo 59. Dispositivos técnicos de identificación. Siempre que el laboratorio lo considere necesario, podrá emplear dispositivos personales que faciliten y controlen el acceso, por su personal, a las zonas de acceso restringido. Los dispositivos serán diseñados de forma que se impida su empleo no autorizado, por lo que, cada uno de ellos se asignará a un empleado determinado, con su correspondiente código personalizado, que será conocido únicamente por el interesado. De estos dispositivos no podrán determinarse las evaluaciones a cuya información tiene acceso el empleado al que se le asigna. En su caso, deberá notificarse al Organismo de Certificación el sistema adoptado, debiéndose plasmar la operativa del mismo en el Plan de Protección. Subsección 8.ª Seguridad de los sistemas de información Artículo 60. Seguridad de la información sobre evaluaciones. 1. La información de las evaluaciones es un bien que debe ser protegido de manera que se garantice su confidencialidad, su integridad y disponibilidad, a lo largo de toda su existencia, con independencia del medio, soporte o formato en el que permanezca o se transmita. Para ello, también es necesario asegurar la integridad y disponibilidad de los servicios y recursos que sustentan dicha información. 2. Los mecanismos de seguridad del sistema de información …

🔗 A la fuente oficial

Explicación por IA a partir del texto oficial de la ley. Orientativa, no sustituye asesoramiento legal.