SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

1 de 11

Fecha de
ltima
revisin:

POLTICA II.

De Gestin de Activos y Clasificacin de la

Informacin.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

2 de 11

Fecha de
ltima
revisin:

II.1INTRODUCCIN
Tecnoinnovacin Informtica del Siglo XXI, S.A. de C.V. a quien en lo sucesivo denominaremos
como TECNOINNOVACIN, crea este documento de Poltica Especfica como parte del Manual de
Polticas de Seguridad de la Informacin, relacionada con los aspectos organizativos de la
seguridad informtica en la empresa y tiene como objetivo proveer direccin y soporte relativo a
la Seguridad Informtica.
Este documento, han sido aprobado por el Consejo de Administracin de TECNOINNOVACIN,
para definir y establecer los requerimientos relativos de un Sistema de Gestin de la Seguridad de
la Informacin (SGSI).
Todas las polticas de seguridad para la Seguridad Informtica de TECNOINNOVACIN, estn
desarrollados tomando como referencia el estndar: Norma Mexicana, NMX-I-27001-NYCE-2009
Tecnologa de la Informacin - Tcnicas de Seguridad - Sistemas de Gestin de la Seguridad
Informacin- Requisitos.
Esta Norma Mexicana adopta un enfoque por proceso para la creacin, implementacin,
operacin, supervisin, revisin, mantenimiento y mejora del SGSI (Sistema de Gestin de
Seguridad Informtica).
Cabe mencionar que estas Polticas complementan pero no sustituye el Marco Normativo
Gubernamental.
Y cada uno de los integrantes que laboren en TECNOINNOVACIN deber sujetarse a las funciones
y responsabilidades que le sean asignadas a travs de la presente Poltica, a efecto de cuidar la
seguridad de la informacin.

II.2 PROPSITO
Establecer los lineamientos de seguridad para la adecuada proteccin de los activos de
informacin a travs de la identificacin del universo de activos que debe controlar y los niveles
necesarios para la correcta clasificacin de la informacin como parte de los activos de la empresa
dndolos a conocer a los dueos, custodios y usuarios de la misma.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

3 de 11

Fecha de
ltima
revisin:

II.3 REVISIN Y VIGENCIA:

Esta poltica debe revisarse, al menos una vez al ao; Su vigencia es a partir de su fecha de
publicacin y hasta no existir cambios.

II.4 OBSERVACIONES:
Este documento es aplicable y de carcter obligatorio para todo el personal que labora para
TECNOINNOVACIN.

II.5. DOCUMENTOS APLICABLES Y/O ANEXOS

Inventario de activos
Gua documental de clasificacin y valuacin de informacin

Procedimiento de sanciones al personal.

II.6. POLITICA
Esta poltica contempla todos los activos de TECNOINNOVACIN como Sistemas Operativos, bases
de datos, aplicaciones, dispositivos de red, dispositivos de telefona, impresoras, equipos,
servidores, por mencionar algunos.
Contempla a su vez los cuatro niveles en los que se debe clasificar los activos de informacin de
TECNOINNOVACIN que son:
Impacto: Se refiere a la importancia de la operacin en la empresa, es decir el nivel de afectacin
que se presenta en caso de dao o prdida de la informacin.
Confidencialidad: Proteccin a la informacin sensible, contra divulgacin no autorizada o
intercepcin, incluyendo la proteccin a datos personales de los clientes, empleados y
proveedores.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

4 de 11

Fecha de
ltima
revisin:

Integridad: Salvaguarda de la informacin, sistemas de tecnologas de la informacin y software

informtico, para que se mantenga con exactitud, est completa y sea oportuna.
Disponibilidad: Asegurar que la informacin y servicios crticos sean accesibles y oportunos a los
usuarios en el momento que los requieran.

II.6.1 Gestin de los Activos

II.6.1.1 Inventario de activos
II.6.1.1.A. Generales
Todos los activos de TECNOINNOVACIN debern estar identificados, clasificados y asignados a un
responsable, estos debern ser incluidos en un Inventario de activos
II.6.1.1.B. Responsabilidad sobre los activos
a. Todos los activos de TECNOINNOVACIN debern tener asignado a un responsable
para su administracin para el caso de los activos de tecnologa de la informacin
tambin deber estar a cargo de su mantenimiento.
b. Los responsables debern ser designados de acuerdo al grado de responsabilidad del
proceso en el cual intervengan.
c. Esta responsabilidad deber estar definida en el inventario de activos. Este inventario
deber ser autorizado por el Comit de Seguridad de la Informacin y estar bajo
resguardo del Director Administrativo.

II.6.1.2. Propiedades de los activos

II.6.2.A. Todos los activos de Tecnologa de la Informacin (aplicaciones, servidores, archivos,
dispositivos de red, computadoras personales y computadoras porttiles, etc), deben de tener un
propietario (dueo) que sea responsable de garantizar la Integridad, Confidencialidad y
Disponibilidad de los servicios.
II.6.2.B. Una vez que el dueo se d de baja de la empresa deber reasignarse el activo como
responsabilidad a otra persona y hacer las modificaciones necesarias en el inventario de forma
inmediata.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

5 de 11

Fecha de
ltima
revisin:

II.6.2.C. Identificacin, Etiquetado y manipulacin de los activos

a. Todos los activos debern contar con cdigo de etiquetado que lo identifique y a su
vez de la informacin para tecnologas de la informacin (en el caso de los sistemas o
archivos electrnicos, puede ser en el nombre del sistema, archivo o en el encabezado
del documento electrnico).
b. En el inventario se debe incluir la referencia de la ubicacin fsica del activo para evitar
su manipulacin indebida.
c. Cuando se requiera reubicar fsicamente algn activo este deber ser aprobado por el
Director administrativo y Director de Desarrollo Tecnolgico y de Soporte Tcnico.
II.6.1.3 Uso aceptable de los activos
a. La Direccin General de TECNOINNOVACIN, debe identificar, documentar e
implementar las reglas para el uso aceptable de la informacin y los activos asociados
con los recursos para el proceso de la informacin.

II.6.2 Clasificacin de la Informacin y Valuacin de la Informacin

II.6.2.1. Lineamientos de Clasificacin
En TECNOINNOVACIN la informacin debe ser clasificada en trminos de su valor,
requerimientos legales, confidencialidad y grado crtico para la empresa, para la documentacin
de estos criterios de clasificacin TECNOINNOVACIN deber elaborar una Gua de clasificacin y
valuacin de la informacin, como se indica en el punto II.6.2.1.H del presente documento.
II.6.2.1.A Criterios de clasificacin y valuacin de informacin
Generales
a. Todos los activos de informacin deben estar clasificados con base al impacto que
representan en las reas de TECNOINNOVACIN y a su vez en sus propiedades de
seguridad como: disponibilidad, confidencialidad e integridad.
b. Los dueos de los activos de la informacin deben responsabilizarse de las necesidades de
operacin para clasificar, valuar y compartir o restringir informacin, as como del impacto
de la empresa asociado con estas necesidades.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

6 de 11

Fecha de
ltima
revisin:

c. Para la incorporacin de activos al inventario documental, se debe asignar una

clasificacin de seguridad y debe ser proporcionada por el dueo del activo.
II.6.2.1.A.1) Nivel de Impacto
a. En el documento denominado Gua documental de clasificacin y valuacin de la
informacin de TECNOINNOVACIN, se debe definir el nivel de impacto que tiene la
informacin con base en:
Objetivos de TECNOINNOVACIN
La alteracin de la informacin
Divulgacin no autorizada de la informacin
Disponibilidad de la informacin
b. En la Gua documental de clasificacin y valuacin de la informacin, se deben definir las
categoras de impacto de acuerdo a los siguientes puntos:
Bajo (dao mnimo)
Medio (dao sensible)
Grave (dao severo)
II.6.2.1.A.2) Nivel de Confidencialidad
a. En la gua documental de clasificacin y valuacin de informacin, se debe definir un nivel de
confidencialidad que permita proteger la informacin sensible, contra intercepcin o
divulgacin no autorizada.
b. Los niveles de confidencialidad definidos en la gua documental de clasificacin y valuacin de
informacin deben ser los siguientes:
Pblica (P): informacin que a la vista de cualquier persona no pone en riesgo el uso los
procesos y uso de la misma.
Reservada (R): Aquella informacin que en el momento tenga algn valor que a la vista de
cualquier persona ponga en riesgo la operatividad de la empresa y pueda causar algn
dao el mal uso de la misma. Para la clasificacin de este rubro deber especificarse por
cunto tiempo o en qu momento del proceso la informacin es reservada.
Confidencial ( C ): Esta informacin por ningn motivo podr estar a la vista del personal
no autorizado para su consulta y uso, dado que cuenta con datos personales de los
clientes, personal de la empresa y proveedores, nicamente se podrn proporcionar estos
datos con autorizacin expresa del dueo de la informacin.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

7 de 11

Fecha de
ltima
revisin:

II.6.2.1.A.3) Nivel de Integridad

a. En la gua documental de clasificacin y valuacin de la informacin, se debe definir un nivel
de integridad que permita proteger la informacin de ser alterada por personas no
autorizadas para hacerlo, con el fin de que mantenga su exactitud, confiabilidad que est
completa y sea oportuna.
b. La integridad de la informacin, que debe ser definida en la gua de clasificacin y valuacin de
la informacin, debe tomar como base su propiedad de confidencialidad.
c. Los niveles de integridad definidos en la gua documental de clasificacin y valuacin de la
informacin deben ser los siguientes:
Normal (n) mnimo riesgo
Estndar (s) mediano riesgo
Personal (p) Mximo riesgo
II.6.2.1.A.4) Nivel de Disponibilidad
a. En la gua documental de clasificacin y valuacin de la informacin, se debe definir un nivel
de disponibilidad que permita asegurar que la informacin y servicios puedan ser accedidos
por los usuarios de las reas indicadas en TECNOINNOVACIN cuando as lo requieran.
b. La disponibilidad de la informacin, que debe ser definida en la gua documental de
clasificacin y valuacin de la informacin, debe tomar como base el impacto.
c. Los niveles de disponibilidad definidos en la gua documental de clasificacin y valuacin de
informacin deben ser los siguientes:
Alta Disponibilidad (Al) mximo riesgo
Prueba de fallos (Pf) mediano riesgo
Recuperable (Re) bajo riesgo

II.6.2.1.B. Clasificacin y valuacin de software y hardware

a. En la Gua documental de clasificacin y valuacin de la informacin, se debe definir la
clasificacin y valuacin del hardware y software con base a su confidencialidad, integridad y
disponibilidad.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

8 de 11

Fecha de
ltima
revisin:

II.6.2.1.C. Dispositivos que transmiten informacin

a.

En la gua documental de clasificacin y valuacin de la informacin, se debe documentar los

dispositivos que transmiten informacin (como: VPN, router, switch) y clasificar por su
integridad, de acuerdo a la informacin que se procese con cada uno de ellos.

II.6.2.1.D. Dispositivos que almacenan informacin

a. En la gua documental de clasificacin y valuacin de la informacin, se debe definir la
clasificacin de los dispositivos que almacenan informacin (discos, unidades de respaldo) por
su disponibilidad.
II.6.2.1.E. Dispositivos que procesan informacin
a. En la gua documental de clasificacin y valuacin de la informacin, se debe definir la
clasificacin de los dispositivos que procesan informacin (aplicaciones y servicios) por su
integridad.
II.6.2.1.F. Reclasificacin de la informacin
a. Se debe llevar a cabo un proceso de reclasificacin de la informacin, con base a los puntos
estipulados en la gua documental de clasificacin y valuacin de la informacin. Por lo menos
1 vez al ao para asegurar su actualizacin.
II.6.2.1.G. Envo (transferencia) de informacin
a. En la gua documental de clasificacin y valuacin de la informacin, se debe definir las
acciones para la transferencia y envo de informacin, de acuerdo a su propiedad de
confidencialidad.

II.6.2.1.H. Gua de documental de Clasificacin y Valuacin de Informacin.

a. Se debe contar con una Gua documental de clasificacin y valuacin de informacin que
soporte los lineamientos de esta poltica. La cual deber ser elaborada por el Comit de
Seguridad de la Informacin de TECNOINNOVACIN.
b. El propsito de esta Gua documental de clasificacin y valuacin de informacin, debe ser
proporcionar los requerimientos mnimos de seguridad para la proteccin de la

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

9 de 11

Fecha de
ltima
revisin:

informacin, requerimientos legales, confidencialidad y grado crtico, considerando los

siguientes temas:
Lineamientos de clasificacin
Clasificacin y manipulacin de la informacin
Seguridad de medios transferibles
c. La clasificacin de los activos de la informacin debe llevarse a cabo en funcin de las
siguientes variables:
Impacto
Confidencialidad
Integridad
Disponibilidad

II.6.2.2. Etiquetado y manejo de la informacin

Se debe desarrollar e implementar en TECNOINNOVACIN un apropiado conjunto de
procedimientos para etiquetar y manejar la informacin en concordancia con el esquema de
clasificacin adoptado por la empresa.
a. En la gua de clasificacin y valuacin de la informacin, se deben definir las acciones
para etiquetar la informacin, de acuerdo a su propiedad de confidencialidad.
b. Para etiquetar la informacin se deber elaborar un Inventario documental de activos
de informacin.
II.6.2.2.A. Inventario documental de activos de informacin
a. Para la clasificacin y valuacin de la informacin se debe elaborar un inventario de
activos de informacin con base a todos los procesos que realice TECNOINNOVACIN.
Este deber ser realizado por el personal involucrado incluyendo a dueos de la
informacin, custodios y usuarios. Este documento deber ser aprobado por el Comit de
Seguridad de la Informacin de TECNOINNOVACIN.
b. Este documento denominado Inventario documental de activos de informacin deber
contener el cdigo de control para referencia del etiquetado de la informacin.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

10 de 11

Fecha de
ltima
revisin:

II.7 SANCIONES EN CASO DE INCUMPLIMIENTO

Todo el personal interno y externo que labora en TECNOINNOVACIN, debe cumplir con
las Polticas y Estndares de Seguridad Informtica. Toda violacin a dichas Polticas y
Estndares ser sancionada de acuerdo a su gravedad con la implementacin de medidas
disciplinarias, las cuales pueden incluir hasta la terminacin de contrato. Estas sanciones
estarn documentadas en el procedimiento de sanciones al personal.

II.8 REFERENCIAS

Norma Mexicana, NMX-I-27001-NYCE-2009 Tecnologa de la Informacin - Tcnicas de

Seguridad - Sistemas de Gestin de la Seguridad Informacin Requisitos.
Ley de Transparencia y Acceso a la Informacin Pblica Gubernamental.
Ley Federal De Proteccin De Datos Personales En Posesin De Los Particulares.

II.9 GLOSARIO DE TERMINOS

Ver documento anexo de glosario de trminos.

SISTEMA DE GESTIN DE SEGURIDAD

DE LA INFORMACIN

Hoja:

MANUAL DE POLTICAS DE SEGURIDAD

Cdigo:

MPSI.PL.2

Fecha de
elaboracin:

29/07/2011

Poltica II. Poltica de Gestin de Activos y

Clasificacin de la Informacin

Revisin:
DIRECCIN JURDICA Y
DIRECCIN ADMINISTRATIVA

Fecha de
ltima
revisin:

II.10. CONTROL DE DOCUMENTOS

AUTORIZA

NOMBRE Y FIRMA
PUESTO
ELABORA

REVISA

NOMBRE Y FIRMA
NOMBRE Y FIRMA
PUESTO
PUESTO
LUGAR Y FECHA DE ACTUALIZACIN

CONTROL DE CAMBIOS Y ACTUALIZACIONES:

FECHA DE
MODIFICACIN

VERSIN
ANTERIOR

MOTIVO DE MODIFICACIN

11 de 11