Академический Документы
Профессиональный Документы
Культура Документы
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
1 de 44
ALCALDA MAYOR
DE BOGOT D.C.
Secretara
GENERAL
NOMBRE
CARGO
FECHA
ELABORO
Profesional Especializado
28/09/2007
REVISO
Profesional Especializado
28/09/2007
APROB
Subdirector de Informtica
y Sistemas (E)
28/09/2007
FIRMA
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
2 de 44
Inventario_y_Clasificacin-_Alcalda_MayorV1_0.doc
1.0
Septiembre de 2007
Usuarios internos de la SECRETARA GENERAL DE
LA ALCALDA MAYOR DE BOGOT D.C.
RESUMEN
Este documento establece los criterios y mecanismos que debern ser utilizados por los
usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT
D.C. para clasificar y manejar la informacin que generen, posean o utilicen, llevando a cabo
las actividades que bajo su responsabilidad tendrn como usuarios, propietarios o custodios
tcnicos de los activos de informacin del alcance aqu consignado.
Septiembre 2007
Comentarios
Personalizacin
documento
Por
NewNet S.A.
del Subdireccin
Informtica
Sistemas
Acta
de N/A
y
Aprobacin
Nombre
Autor
Propietario
NewNet S.A.
Subdireccin Informtica y Sistemas
Empresa
Secretaria General
Alcaldia Mayor de
Bogot
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
3 de 44
TABLA DE CONTENIDO
1
RESUMEN EJECUTIVO....................................................................................... 4
2
OBJETIVO del documento.................................................................................... 6
3
DEFINICIONES .................................................................................................... 7
4
INVENTARIO DE ACTIVOS DE INFORMACIN................................................. 9
4.1 Procedimiento de Inventario .....................................................................................9
4.1.1 Definicin .........................................................................................................................10
4.1.2 Informacin mnima .........................................................................................................12
4.1.3 Revisin ...........................................................................................................................17
4.1.4 Actualizacin....................................................................................................................18
4.1.5 Publicacin ......................................................................................................................19
5
CLASIFICACIN DE ACTIVOS DE INFORMACIN ......................................... 20
5.1 Definicin ................................................................................................................20
5.2 Niveles de Clasificacin y de Confidencialidad ......................................................22
5.2.1 Niveles de Clasificacin...................................................................................................22
5.2.2 Niveles de confidencialidad .............................................................................................23
5.3 Atributos de Clasificacin .......................................................................................40
5.4 Procedimiento de clasificacin ...............................................................................41
6
Recomendaciones .............................................................................................. 42
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
4 de 44
RESUMEN EJECUTIVO
Este documento presenta el inventario y clasificacin de los activos de informacin que
son manejados por los empleados a travs de los procesos de la SECRETARA
GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., con el fin principal de
determinar que activos posee la institucin, reconocer el valor de cada activo, los
niveles de acceso permitidos, y determinar su clasificacin para que sea utilizada
adecuadamente.
La realizacin de un inventario y clasificacin de activos de informacin hace parte de la
debida diligencia que a nivel estratgico ha considerado la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. dentro de sus elementos a tratar con
respecto a la seguridad para los activos de informacin de la institucin.
Las mejores prcticas de seguridad de la informacin a nivel nacional e internacional
recomiendan de manera imperativa la realizacin de un inventario y clasificacin de los
activos de informacin de las organizaciones, para determinar cmo deben ser
utilizados en los procesos del negocio, los roles y las responsabilidades que tiene el
personal sobre la misma, reconociendo adicionalmente los niveles de confidencialidad
que a cada activo debe drsele.
De esta forma y con base en las normas tcnicas colombianas NTC ISO/IEC 17799 y
NTC ISO/IEC 27001 en el tem Gestin de Activos se persigue dar cumplimiento a tres
puntos principales que son explcitos en las mismas as:
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
5 de 44
Inventario de Activos: Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos importantes de la organizacin.
Propiedad de los Activos: Toda la informacin y los activos asociados con los servicios
de procesamiento de informacin deben ser propiedad 1 de una parte designada de la
organizacin.
Directrices de Clasificacin: La informacin debe clasificarse en trminos de su valor, de
los requisitos legales, de la sensibilidad y la importancia para la organizacin.
Dado que todos los procesos de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. deben conocer y aplicar los criterios, procedimientos y
recomendaciones para el manejo y clasificacin de la informacin que se encuentran en
este documento, se ha buscado que el impacto de la aplicacin de los mismos sea el
mnimo en las actividades de los diferentes procesos de la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C.
Esta gua busca dar cumplimiento y tener como marco de aplicacin el manual de
seguridad de la informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR
DE BOGOT D.C., en el cual se estructura y se compilan las polticas y principios ticos
que orientan la actuacin de la institucin respecto de su conducta con respecto a la
seguridad su INFORMACIN.
1
El trmino Propietario identifica a un individuo o a una entidad que tiene responsabilidad aprobada de
la direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos. El trmino Propietario no implica que la persona tenga realmente los derechos de propiedad de
los activos.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
6 de 44
Este documento cuenta con una seccin de definiciones las cuales aplican al contenido
total del documento, por lo tanto los conceptos deben aplicarse y entenderse con base
en las definiciones dadas en este contexto.
Si se tiene alguna duda sobre informacin que no ha sido clasificada o si se piensa que
no se ha realizado adecuadamente su clasificacin, debe dirigir la inquietud al jefe
inmediato en su rea.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
7 de 44
DEFINICIONES
Informacin: La informacin es un activo que, como otros activos importantes del
negocio, es esencial para las actividades de la organizacin y, en consecuencia,
necesita una proteccin adecuada 2.
Seguridad de la Informacin: La seguridad de la informacin es la proteccin de la
informacin contra una gran variedad de amenazas con el fin de asegurar la continuidad
del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades
de negocio 3. Adicionalmente, se define como la preservacin de la confidencialidad,
integridad y disponibilidad de la informacin, adems, otras propiedades tales como
autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
Clasificacin de la Informacin: Es el ejercicio por medio del cual se determina que la
informacin pertenece a uno de los niveles de clasificacin estipulados a nivel
corporativo. Tiene como objetivo asegurar que la informacin recibe el nivel de
proteccin adecuado. La informacin debe clasificarse en trminos de la sensibilidad y
la importancia para la organizacin.
Propietario de la Informacin: Es una parte designada de la organizacin, un cargo,
proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen
acceso y que pueden hacer con la informacin y de determinar cuales son los requisitos
para que la misma se salvaguarde ante accesos no autorizados, modificacin, prdida
2 Tomado de NTC ISO/IEC 17799:2005
3 Tomado de NTC ISO/IEC 17799:2005
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
8 de 44
4 Las personas que se relacionan con la Alcalda Mayor de Bogot D.C. estn obligadas a utilizar la
informacin a la cual tengan acceso en virtud de sus funciones o relacin contractual, exclusivamente
para el ejercicio de las mismas
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
9 de 44
Procedimiento de Inventario
El procedimiento de inventario debe realizarse mediante la ejecucin de las siguientes
actividades:
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
10 de 44
Definicin
En el procedimiento de inventario la actividad de definicin consiste en reconocer y
determinar que activos de informacin van a hacer parte de la Matriz de Inventario y
Clasificacin de activos de informacin y para estos activos definir las propiedades y la
informacin que permite identificar el mismo en la organizacin, para obtener su valor
para el negocio.
La definicin es un ejercicio que debe ser realizado por cada proceso del negocio para
identificar e incluir nuevos activos de informacin a la Matriz de Inventario y
Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
11 de 44
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
12 de 44
Informacin mnima
Propiedad
Es un grupo de informacin que permite determinar la propiedad de los activos y para el
cual la tabla de inventario define los siguientes campos:
Nombre del Activo: Es un campo que define la manera como se va a reconocer el
activo de informacin en la compaa, con un nombre particular y diferenciable.
Propietario 5.
Custodio Tcnico 6.
5
6
Ver 3. Definiciones
Ver 3. Definiciones
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
13 de 44
Tipo
Se define el tipo al cual pertenece el activo. Para este campo se utilizan los
siguientes valores:
INF (Informacin): Corresponden a este tipo las bases de datos y archivos de
datos, contratos y acuerdos, documentacin del sistema, informacin sobre
investigacin, manuales de usuario, procedimientos operativos o de soporte,
planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria
e informacin archivada fsica o electrnicamente.
SOF (Software): software de aplicacin, software del sistema, herramientas de
desarrollo y utilidades.
FIS (Fsico): Equipos de computacin, equipos de comunicaciones, medios
removibles y otros equipos fsicos.
SER (Servicio): servicios de computacin y comunicaciones. (Pe: Acceso a
Internet, Paginas de consulta, Acceso a la red, etc.)
Valor
Este es un grupo de informacin para el cual se define y deben ser ingresados valores
en el rango desde Muy Bajo hasta Muy Alto para cada uno de los campos. Esta
informacin nos indica el valor que tiene el activo para el distrito, para el negocio o
especficamente para el proceso, ya que uno de los criterios importantes de su
clasificacin es en trminos de su valor. A continuacin se define el significado de cada
campo presente en la tabla de inventario:
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
14 de 44
Criterio
Descripcin
Explicacin
MA
Muy Alto
Alto
Medio
Bajo
MB
Muy Bajo
Descripcin
Explicacin
MA
Muy Alto
Alto
Medio
Bajo
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
15 de 44
Descripcin
Explicacin
Muy Bajo
Descripcin
Explicacin
MA
Muy Alto
Alto
Medio
Bajo
MB
Muy Bajo
Descripcin
Explicacin
MA
A
Muy Alto
Alto
M
B
MB
Medio
Bajo
Muy Bajo
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
16 de 44
Acceso
El grupo de informacin denominado Acceso permite identificar que usuarios han sido
formalmente declarados y autorizados a hacer uso de la informacin y adicionalmente
identificar que tipos de acceso se manejan del activo para cada usuario o grupo de
usuarios. Los siguientes son los campos de informacin que se encuentran en la tabla
de inventario:
Usuarios.
Derechos de Acceso: Se definen los tipos de acceso identificados para cada
activo por cada usuario definido:
o (L) lectura, consulta.
o (E) Escritura.
o (M) Modificacin.
o (B) Borrado, eliminacin.
Ubicacin
Es la informacin acerca de donde se encuentra especficamente ubicado el activo de
informacin, puede ser un archivo fsico de oficina, archivo digital, sistema de
informacin, computador, base de datos, o aplicacin.
Para este grupo de informacin se indica si el activo se encuentra disponible en medio
fsico o en medio electrnico.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
17 de 44
Fechas
Fecha de Ingreso a inventario: Es la fecha en la cual el activo de informacin se
incluy formalmente en el inventario en la actividad de definicin.
Fecha de Salida de Inventario: Es la fecha en la cual el activo de informacin se
excluy del inventario.
Revisin
La actividad de revisin se refiere a la verificacin que se puede llevar a cabo para
determinar si un activo de informacin continua o no siendo parte del inventario, o si los
valores asignados a los activos de informacin en los campos de la Matriz de Inventario
y Clasificacin deben ser actualizados.
El inventario de activos puede ser revisado en cualquier momento en que un lder de
proceso de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
as lo solicite, o si el equipo de gestin de activos lo solicita a algn lder de proceso.
Esta revisin del inventario ser aprobada por el equipo de gestin de activos cuando lo
considere pertinente debido a eventos que hacen que los valores asignados a los
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
18 de 44
activos no estn actualizados y no correspondan con la realidad, las razones por las
cuales puede gestarse una revisin son:
Actualizacin del proceso.
Inclusin de nuevas actividades en el proceso.
Inclusin de: nuevos registros de calidad, nuevos registros de referencia
procesos y procedimientos.
Inclusin de un nuevo activo importante.
Desaparicin de un rea, proceso o cargo en la compaa que tena asignado el
rol de propietario o custodio tcnico.
Cambios o migraciones de sistemas de informacin en donde se almacenan o
reposan activos de informacin ya inventariados.
Cambio fsico de la ubicacin de activos de informacin.
Para esta revisin se utiliza el formato Definicin de Activos por Proceso en el cual el
lder de proceso indica si
Actualizacin
Una vez el equipo de gestin de activos recibe el formato Definicin de Activos por
Proceso diligenciado con los resultados de la revisin procede a actualizar la Matriz de
Inventario y Clasificacin de Activos de Informacin con los valores sugeridos para ello
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
19 de 44
Publicacin
El inventario de activos de informacin es un documento de uso interno de la
SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., y de acceso
de solo lectura para todos los usuarios internos autorizados. Slo debe tener acceso de
modificacin a este documento la persona que haya sido designada expresamente por
el equipo de gestin de activos para ello.
Este documento debe ser publicado en la Intranet de la SECRETARA GENERAL DE
LA ALCALDA MAYOR DE BOGOT D.C. y debe ser mantenido en el sistema de
gestin de la seguridad de la informacin con su respectivo control de versiones. Este
mismo documento hace parte del inventario y clasificacin de activos de informacin de
la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. por lo tanto
los requerimientos derivados de su clasificacin deben tenerse en cuenta.
Debe llevarse a cabo una presentacin formal del documento de inventario y
clasificacin de activos de informacin como mnimo a las personas que aparezcan
como propietarios o custodios tcnicos del algn activo.
Adicionalmente se debe informar a todos los empleados de la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C., a travs de una circular interna, acerca
de la disposicin y publicacin de este documento y a partir de que fecha inicia su
vigencia informando que el mismo indica responsabilidades asociadas para todos los
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
20 de 44
Definicin
La clasificacin de los activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. se basa en la informacin del inventario
consignado en este documento. Se define un esquema de clasificacin que se basa en
los siguientes componentes:
1) Niveles de Clasificacin y de Confidencialidad.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
21 de 44
o Niveles de Acceso.
o Mtodos de Distribucin.
o Restricciones en la Distribucin Electrnica.
o Almacenamiento y Archivado.
o Destruccin.
o Penalizaciones por revelacin deliberada de la informacin.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
22 de 44
Niveles de Clasificacin
Pblica: La informacin pblica de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. es la informacin que ha sido declarada de conocimiento
pblico de acuerdo a alguna norma jurdica o por parte de la persona o grupo de
personas de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
con autoridad para hacerlo. Esta informacin puede ser entregada o publicada sin
restricciones a los empleados o a cualquier persona sin que esto implique daos a
terceros ni a las actividades y procesos de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
Confidencial: La informacin confidencial de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. es toda aquella informacin que no es Pblica y
que adems no ha sido an clasificada en este documento. A la informacin
confidencial slo pueden tener acceso las personas que expresamente han sido
declaradas usuarios legtimos de esta informacin, y con los privilegios asignados, tal
como aparece consignado en el inventario de activos de informacin.
A esta categora se asocia la informacin propiedad de terceros que la SECRETARA
GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. utiliza bajo acuerdos de
confidencialidad o por licencias de uso. Los directores definirn cual informacin es
Reservada o Confidencial.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
23 de 44
Niveles de confidencialidad
La informacin confidencial debe ser entendida como: La existencia de informacin ms
crtica a nivel de prdida de su confidencialidad que otra y que por ende debe tener una
mayor proteccin.
La informacin que es confidencial hoy puede llegar a ser pblica en un momento
posterior, de conocimiento pblico para un conjunto de personas y parte de ella es
pblica para la comunidad en general en algunos casos.
Para saber cuando puede permitrsele el acceso y uso de la informacin a personas
distintas a las responsables de la misma y para poder establecer el grado de proteccin
que se le debe aplicar a la informacin de la institucin es necesario clasificarla
totalmente en trminos de su confidencialidad.
Para realizar una clasificacin ms precisa y fcil de manejar se definen tres grados de
confidencialidad de la informacin para la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C.: de uso interno, restringida y altamente restringida. A
continuacin encontramos su definicin especfica:
Uso Interno
Es toda informacin consignada en el inventario de activos de informacin que es
utilizada por el personal de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
BOGOT D.C. para realizar sus labores en los procesos y que no puede ser conocida
por terceros sin autorizacin del propietario del activo. En caso de ser conocida,
utilizada o modificada por personas sin la debida autorizacin, impactara de forma leve
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
24 de 44
Restringida
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y
que no puede ser conocida por otros empleados o terceros sin autorizacin del
propietario de la informacin. En caso de ser conocida, utilizada o modificada por
personas sin la debida autorizacin, impactara de forma importante a terceros o a los
sistemas y/o procesos de la institucin.
Altamente Restringida
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y
que no puede ser conocida por otros empleados o terceros sin autorizacin especial de
la Gerencia. En caso de ser conocida, utilizada o modificada por personas sin la debida
autorizacin, impactara de forma grave a terceros o a los sistemas, a la institucin o al
distrito.
Para el esquema de clasificacin de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C., la relacin que se establece entre los niveles de
Clasificacin y los niveles de confidencialidad es como se muestra en la figura 1.
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
25 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
1. Definicin
Pblica
Uso Interno
Restringida
Pgina 26 de 44
Altamente Restringida
Informacin que es utilizada por
solo un grupo de empleados para
realizar sus labores y que no puede
ser conocida por otros empleados
o terceros sin autorizacin especial
de la Gerencia. En caso de ser
conocida, utilizada o modificada
por personas sin la debida
autorizacin, impactara de forma
grave a terceros o a los sistemas, a
la institucin o al distrito.
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Restringida
Altamente Restringida
Calificacin de Confidencialidad:
Calificacin de Confidencialidad:
Calificacin de Confidencialidad:
Calificacin de Confidencialidad:
Atributos:
Atributos A8 (G):
2. Criterio de
Definicin de
Confidencialidad
Atributos:
A2: "No esta restringida a un numero limitado
de empleados".
A3: "No restringida a personas externas".
A7: "Declarado de conocimiento publico".
Todos (Cualquier persona Interna o Externa)
3. Acceso
permitido
Uso Interno
5. Etiquetado
Pgina 27 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
Restringida
Altamente Restringida
a. Documentos en
Papel
a. No es requerido
a. No es requerido, queda a
discrecin del propietario de la
informacin. En caso de
etiquetarse, si un documento que
se haya impreso no posee el
campo "Nivel de
Confidencialidad", prediligenciado
por medio de formato electrnico,
entonces se deber etiquetar con
un sello de tinta correspondiente a
su clasificacin en su primera
pgina como mnimo.
b. Archivos
Electrnicos (Texto,
Word, Excel, dibujos,
planos, etc.)
b. No es requerido.
b. No es requerido, queda a
discrecin del propietario de la
informacin. En caso de
etiquetarse los documentos o
informacin que estn en archivos
electrnicos se les debe agregar
un campo de informacin que
indique el nivel de clasificacin del
mismo y que hagan parte de los
formatos manejados.
Pgina 28 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
c. No es requerido.
c. Aplicaciones
d. Carpetas en
Sistemas
d. No es requerido
Uso Interno
Restringida
Altamente Restringida
c. No es requerido, queda a
discrecin del propietario de la
informacin. En caso de
etiquetarse, las aplicaciones que
procesen o almacenen temporal o
indefinidamente informacin, y si
lo permiten, se les debe agregar
un cuadro de dilogo en donde se
informe su nivel de clasificacin.
d. No es requerido, queda a
discrecin del propietario de la
informacin. En caso de
etiquetarse, las carpetas en
servidores de archivos o en PCS
se les debe colocar un nombre o
identificador distintivo (icono en
algunos sistemas) con el nivel de
clasificacin a cada carpeta que
almacena la informacin
clasificada.
6. Mtodo de
distribucin
recomendado
Pgina 29 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
a. Internamente
Uso Interno
Restringida
Altamente Restringida
Pgina 30 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
b. Hacia Terceros
Uso Interno
Restringida
Altamente Restringida
Electrnica: Si se entrega en
medio electrnico en lo posible se
debe tener los archivos y/o datos
de acceso de solo lectura. Se
puede entregar la informacin va
e-mail a destinatarios con cuentas
por fuera de La Alcalda Mayor de
Bogot D.C. Se debe evitar utilizar
listas de distribucin al momento
de enviar este tipo de informacin.
Electrnica: Si se entrega en
medio electrnico en lo posible se
debe tener los archivos y/o datos
de acceso de solo lectura. No se
puede entregar la informacin va
e-mail a destinatarios con cuentas
por fuera de los sistemas de
correo de La Alcalda Mayor de
Bogot D.C. si la informacin no
posee clave. Se debe evitar
utilizar listas de distribucin al
momento de enviar este tipo de
informacin.
Pgina 31 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
Restringida
Altamente Restringida
7.
Almacenamiento
y archivado
a. Informacin
Impresa.
Pgina 32 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
Restringida
Altamente Restringida
b. Informacin
Electrnica
b. Se puede almacenar en
cualquier sistema o repositorio
siempre y cuando se asegure que
no es accesible a personas por
fuera de las redes y sistemas de
informacin de La Alcalda Mayor
de Bogot D.C. (i.e. desde
Internet, servicios FTP, Web, etc.).
Debe existir copia de la
informacin solamente en los
medios, sistemas de informacin o
recursos indicados en el campo
ubicacin del inventario de activos
de informacin.
c. e-mail
Pgina 33 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
Restringida
Altamente Restringida
8. Destruccin
a. No requiere precauciones especiales.
a. No requiere precauciones
especiales.
c. No es permitido.
a. Informacin
Impresa.
c. Reciclaje de Papel
d. Medios de
almacenamiento
9. Transmisin
Oral
Pgina 34 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
a. No requiere precauciones especiales.
a. Conversaciones y
reuniones
Uso Interno
Restringida
Altamente Restringida
Pgina 35 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
b. No se debera entregar
informacin de uso interno a
personas no autorizadas por este
medio.
c. No se debera entregar
informacin de uso interno a
personas no autorizadas por este
medio.
a. Localizacin de la
Mquina de FAX
b. Uso de Cubierta de
FAX
b. Telefnica
c. Voice Mail o
maquina de grabacin
automtica de
mensajes
Restringida
Altamente Restringida
10. Transmisin
por FAX
Pgina 36 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
Restringida
Altamente Restringida
b. No se debera entregar
informacin de uso interno a
personas no autorizadas por este
medio.
a. Estaciones de
Trabajo
b. Informacin
Impresa en zona de
impresin
c. Cuidados en la
transmisin
11. Seguridad
Fsica
Pgina 37 de 44
2213200-GS-004 Versin 01
Nivel de Clasificacin
Pblica
Uso Interno
Restringida
Altamente Restringida
c. Nunca debe dejarlo solo el
equipo y siempre debe utilizar
cable de aseguramiento (lockdown
cable) y si no es posible se debe
dejar bajo vigilancia y cuando se
salga de la oficina se debe dejar
este bajo llave. Se debe procurar
tener la informacin cifrada.
d. el acceso a las reas que
poseen informacin confidencial
debe tener algn tipo de restriccin
fsica de acceso (Puerta con llave,
tarjeta, vigilancia), este control
debe ser aplicado cuando la oficina
este desatendida.
d. Acceso a Oficina
d. No requiere precauciones
especiales.
a. No requiere precauciones
especiales.
12. Fotocopiado
de Informacin
a. Tipo de copias
permitidas.
Pgina 38 de 44
2213200-GS-004 Versin 01
Pgina 39 de 44
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
40 de 44
Atributos de Clasificacin
A cada activo de informacin se le relacion uno o ms atributos, los cuales
permiten identificar su sensibilidad y justificar el valor asignado al activo y
adicionalmente permitirn obtener elementos que permitan darle un tratamiento
adecuado. Los atributos asociados al activo de informacin y que se tiene como
informacin de referencia en la matriz de inventario y clasificacin de activos de
informacin es la siguiente:
A1: Activo de informacin de clientes o terceros que debe protegerse.
A2: Activo de informacin que debe ser restringido a un nmero limitado de
empleados.
A3: Activo de informacin que debe ser restringido a personas externas.
A4: Activo de informacin que puede ser alterado o comprometido para
fraudes corrupcin.
A5: Activo de informacin que es muy crtico para las operaciones internas.
A6: Activo de informacin que es muy crtico para el servicio hacia terceros.
A7: Activo de informacin que ha sido declarado de conocimiento pblico por
parte de la persona con autoridad para hacerlo o por alguna norma jurdica.
A8: Activo de informacin que en caso de ser conocido, utilizado o modificado
por alguna persona o sistema sin la debida autorizacin, impactara de forma
leve a terceros, a los sistemas y/o procesos de la institucin.
Pgina 40 de 44
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
41 de 44
Procedimiento de clasificacin
La clasificacin de la informacin se lleva a cabo bajo el mismo procedimiento del
inventario de activos de informacin (Definicin, Revisin, Actualizacin y
Publicacin). La diferencia que se suscita es que en la definicin despus de que el
lder de proceso lleva a cabo el levantamiento de informacin, el equipo de gestin
de activos es quien asigna los niveles de clasificacin de acuerdo a la informacin
consignada en la matriz de Inventario y clasificacin.
En este sentido lo que se realiza es el llenado de la columna clasificacin con
alguno de los siguientes valores:
Publica
Uso Interno
Restringida
Altamente Restringida
Pgina 41 de 44
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
42 de 44
Pblica
Uso Interno
Restringida
Altamente
restringida
Calificacin de
Confidencialidad:
Calificacin de
Confidencialidad:
Calificacin de
Confidencialidad:
Calificacin de
Confidencialidad:
Atributos:
Atributos A8 (G):
A2: "Restringido a un numero
determinado de empleados".
El equipo de gestin de activos lleva a cabo esta revisin y actualizacin con los
valores correspondientes.
Recomendaciones
Las siguientes son las recomendaciones asociadas al manejo del esquema de
clasificacin de activos de informacin de la GENERAL DE LA ALCALDA MAYOR
DE BOGOT D.C., tendientes a que la elaboracin, actualizacin y manejo del
mismo se mantenga de manera adecuada en el tiempo.
Pgina 42 de 44
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
43 de 44
Pgina 43 de 44
2213200-GS-004 Versin 01
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
44 de 44
como propietario o custodio tcnico de algn activo para de esta forma llevar a
cabo una revisin y actualizacin al inventario.
Se recomienda que dentro de los procesos de vinculacin de personal o de
creacin de un nuevo cargo se haga una revisin de si la persona debe ser
propietario o custodio tcnico de algn activo para de esta forma llevar a cabo
una revisin y actualizacin al inventario y la clasificacin.
Cada vez que se cambie o migre un sistema de informacin, servicio,
aplicacin o cualquier utilidad que almacene algn activo de informacin se
debe generar una actualizacin al inventario en su campo Ubicacin.
A nivel documental para todos los procesos es importante tener una
diferenciacin clara en el nombre de los documentos que sean de trabajo
preliminar o que an no sean oficiales, de tal forma que se nombren
formalmente como borrador, preliminar o proyecto de... Esto debe aplicar
para todos los documentos que tengan un nivel de clasificacin diferente antes
y despus de ser oficiales.
Se recomienda declarar la vigencia del inventario de activos de informacin
una vez todas las recomendaciones aqu sugeridas hayan sido implementadas
y se hayan definidos todos los procedimientos asociados a la gua de
inventario y clasificacin.
Pgina 44 de 44
2213200-GS-004 Versin 01