Artículo 60. Seguridad de la información sobre evaluaciones.
Artículo 60 de la Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. · BOE-A-2007-16830
Redacción vigente según el texto consolidado del BOE, en vigor desde el 2007-09-26.
Texto consolidado
1. La información de las evaluaciones es un bien que debe ser protegido de manera que se garantice su confidencialidad, su integridad y disponibilidad, a lo largo de toda su existencia, con independencia del medio, soporte o formato en el que permanezca o se transmita. Para ello, también es necesario asegurar la integridad y disponibilidad de los servicios y recursos que sustentan dicha información.
2. Los mecanismos de seguridad del sistema de información que procese, almacene o transmita información de las evaluaciones, tienen como finalidad evitar accesos, destrucciones y modificaciones no permitidas, asegurando, al mismo tiempo, que la información es utilizada cuándo y cómo lo requieran los usuarios autorizados.
3. Los factores que se han de evaluar en la protección de la información de las evaluaciones serán los siguientes:
a) Confidencialidad, como servicio de seguridad que pretende que una información sea revelada exclusivamente a los usuarios, entidades o procesos autorizados.
b) Integridad, como medida que asegura que la información sea creada, modificada o borrada sólo por personas, entidades o procesos autorizados.
c) Disponibilidad, para que la información sea utilizable en el lugar, momento y forma que lo requieran lo usuarios, entidades o procesos autorizados.
4. El laboratorio deberá concretar los principios y reglas básicas de seguridad, exigidos para la acreditación, en unos procedimientos específicos para la protección de la información de las evaluaciones tratadas en su sistema de información, cuya seguridad deberá estar necesariamente integrada en el sistema de protección del laboratorio.
5. La seguridad del sistema de información requiere la adecuada aplicación de procedimientos y normas que posibiliten el control de acceso al sistema, la distribución de responsabilidades, la segregación de funciones y la compartimentación de los entornos correspondientes a las evaluaciones y a la administración y gestión del laboratorio.