1.- El responsable del fichero elaborará e implantará la normativa de seguridad  mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información. 

2.- El documento deberá contener, como mínimo, los siguientes aspectos: 

a.- Ámbito de aplicación del documento con especificación detallada de los recursos protegidos. 
b.- Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este Reglamento. 
c.- Funciones y obligaciones del personal. 
d.- Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan. 
e.- Procedimiento de notificación, gestión y respuesta ante las incidencias. 
f.- Los procedimientos de realización de copias de respaldo y de recuperación de los datos. 

3.- El documento deberá mantenerse en todo momento actualizado y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo. 

4.- El contenido del documento deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personales.