Politica de securitate a datelor cu caracter personal fiind centralizată, completă, actualizată în mod regulat, va conţine cel puţin următoarele elemente:
• identitatea persoanei responsabile de politica de securitate;
• măsurile de securitate nemijlocite și mecanismul de punere în aplicare;
• nomenclatorul datelor cu caracter personal prelucrate, a localizării acestora şi a operaţiunilor efectuate asupra lor;
• o listă nominală a utilizatorilor, autorizaţi să acceseze datele cu caracter personal;
• configurarea sistemului informaţional de date cu caracter personal şi a reţelei;
• documentaţia tehnică cu privire la controalele de securitate;
• măsurile de detectare a cazurilor de acces şi/sau de prelucrare neautorizată a datelor cu caracter personal;
• rapoarte despre incidentele de securitate.
SECURITATEA MEDIULUI FIZIC:
• Autorizarea accesului fizic
• Administrarea şi monitorizarea accesului fizic
• Securitatea sediilor şi mijloacelor de prelucrare a datelor cu caracter personal
• Controlul vizitatorilor
• Securitatea electroenergetică
• Securitatea cablurilor de reţea
• Asigurarea securităţii antiincendiare
• Controlul instalării şi scoaterii componentelor IT
• Măsurile generale de administrare
SECURITATEA MEDIULUI TEHNIC:
• Identificarea şi autentificarea utilizatorului
• Identificarea şi autentificarea echipamentului
• Administrarea identificatorilor utilizatorilor
• Administrarea mijloacelor de autentificare
• Asigurarea conexiunii bilaterale în cazul introducerii informaţiei de autentificare a utilizatorilor
• Utilizarea parolelor în procesul asigurării securităţii informaţionale
• Administrarea parolelor utilizatorilor
ADMINISTRAREA SOFTURILOR
• Înlăturarea deficienţelor de soft
• Asigurarea protecţiei contra programelor dăunătoare (viruşilor)
• Tehnologiile şi mijloacele de constatare a intruziunilor
ADMINISTRAREA ACCESULUI UTILIZATORILOR:
• Administrarea accesului
• Administrarea conturilor de acces
• Acordarea accesului
• Revizuirea drepturilor de acces a utilizatorilor
• Administrarea fluxurilor informaţionale
• Repartizarea obligaţiilor şi investirea cu minimul de drepturi şi competenţe
• Informaţii de avertizare
• Blocarea sesiunii de lucru
• Controlul administrării accesului
• Marcarea documentelor
• Limitările specifice accesul de la distanţă
• Limitarea folosirii tehnologiilor fără fir
• Limitarea accesului echipamentului portativ şi mobil
• Separarea programelor aplicative
• Separarea funcţiilor de securitate
• Informaţia restantă
• Protecţia contra refuzului în serviciu (DOS – (denial of service))
• Priorităţile resurselor
• Protecţia perimetrului sistemelor informaţionale în care sînt prelucrate date cu caracter personal
• Asigurarea integrităţii datelor cu caracter personal transmise
• Asigurarea confidenţialităţii datelor cu caracter personal transmise
• Generarea înregistrărilor de audit