En el Real Decreto 1720/2007, Reglamento de desarrollo de la LOPD, establece en su artículo 96:

“A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título”

Por lo tanto, la normativa implica que todas aquellas organizaciones que dispongan de ficheros de nivel medio y / o alto, deben realizar una auditoria bienal.

La auditoría es una medida de seguridad de obligado cumplimiento y durante la misma se verificaran la existencia y validez de :

-Los medios y procedimientos de identificación y autenticación.

-El control y registro de accesos, con determinación de perfiles de usuarios y privilegios.

-Los procedimientos de acceso y transmisión de datos a través de redes de telecomunicaciones.

-Los procedimiento de creación, conservación y borrado de ficheros temporales.

-Los procedimientos de Gestión y Notificación de Incidencias.

-Los procedimientos de realización de copias de respaldo y recuperación.

-Los procedimientos de Gestión y Distribución de soportes.

-Los procedimientos de cifrado de información sensible.

-Los procedimientos de borrado y destrucción de soportes.

-Los procedimientos de pruebas de nuevas aplicaciones/herramientas con datos reales.

-Los procedimientos de acceso, almacenamiento, conservación y destrucción de datos en formato papel

Finalizada la fase de recogida de información, el responsable de seguridad deberá emitir un informe que incluya :

- Adecuación de las medidas se seguridad conforme a la información obtenida.

- Identificación de deficiencias y propuesta de medidas correctoras.

- Análisis del responsable de seguridad.