Inventario Activos de La Información

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE
ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL

DE LA ALCALDA MAYOR DE BOGOT D.C.
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
1 de 44
ALCALDA MAYOR
DE BOGOT D.C.
Secretara
GENERAL
DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL

SUBDIRECCIN DE INFORMTICA Y SISTEMAS
SECRETARA GENERAL
ALCALDA MAYOR DE BOGOT.
NOMBRE
CARGO
FECHA
ELABORO
Juan Carlos Cely
Profesional Especializado
28/09/2007
REVISO
Juan Carlos Cely
Profesional Especializado
28/09/2007
APROB
Oscar Alberto Cardona
Subdirector de Informtica
y Sistemas (E)
28/09/2007
FIRMA
2213200-GS-004 Versin 01

NOMBRE DEL DOCUMENTO:

VERSIN DEL DOCUMENTO:
FECHA:
LECTORES:
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
2 de 44
Inventario_y_Clasificacin-_Alcalda_MayorV1_0.doc
1.0
Septiembre de 2007
Usuarios internos de la SECRETARA GENERAL DE
LA ALCALDA MAYOR DE BOGOT D.C.
RESUMEN
Este documento establece los criterios y mecanismos que debern ser utilizados por los
usuarios internos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT
D.C. para clasificar y manejar la informacin que generen, posean o utilicen, llevando a cabo
las actividades que bajo su responsabilidad tendrn como usuarios, propietarios o custodios
tcnicos de los activos de informacin del alcance aqu consignado.
Historia del documento

Versin Fecha
1.0
2.0
Septiembre 2007
Comentarios
Personalizacin
documento
Por
NewNet S.A.
del Subdireccin
Informtica
Sistemas
Acta
de N/A
y
Documentos asociados (Este documento debe ser ledo en conjunto con)

Nombre del Documento
Versin Fecha
Aprobacin
Nombre
Autor
Propietario
NewNet S.A.
Subdireccin Informtica y Sistemas
Empresa
Secretaria General
Alcaldia Mayor de
Bogot
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
3 de 44
TABLA DE CONTENIDO
1
RESUMEN EJECUTIVO....................................................................................... 4
2
OBJETIVO del documento.................................................................................... 6
3
DEFINICIONES .................................................................................................... 7
4
INVENTARIO DE ACTIVOS DE INFORMACIN................................................. 9
4.1 Procedimiento de Inventario .....................................................................................9
4.1.1 Definicin .........................................................................................................................10
4.1.2 Informacin mnima .........................................................................................................12
4.1.3 Revisin ...........................................................................................................................17
4.1.4 Actualizacin....................................................................................................................18
4.1.5 Publicacin ......................................................................................................................19
5
CLASIFICACIN DE ACTIVOS DE INFORMACIN ......................................... 20
5.1 Definicin ................................................................................................................20
5.2 Niveles de Clasificacin y de Confidencialidad ......................................................22
5.2.1 Niveles de Clasificacin...................................................................................................22
5.2.2 Niveles de confidencialidad .............................................................................................23
5.3 Atributos de Clasificacin .......................................................................................40
5.4 Procedimiento de clasificacin ...............................................................................41
6
Recomendaciones .............................................................................................. 42
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
4 de 44
RESUMEN EJECUTIVO
Este documento presenta el inventario y clasificacin de los activos de informacin que
son manejados por los empleados a travs de los procesos de la SECRETARA
GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., con el fin principal de
determinar que activos posee la institucin, reconocer el valor de cada activo, los
niveles de acceso permitidos, y determinar su clasificacin para que sea utilizada
adecuadamente.
La realizacin de un inventario y clasificacin de activos de informacin hace parte de la
debida diligencia que a nivel estratgico ha considerado la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C. dentro de sus elementos a tratar con
respecto a la seguridad para los activos de informacin de la institucin.
Las mejores prcticas de seguridad de la informacin a nivel nacional e internacional
recomiendan de manera imperativa la realizacin de un inventario y clasificacin de los
activos de informacin de las organizaciones, para determinar cmo deben ser
utilizados en los procesos del negocio, los roles y las responsabilidades que tiene el
personal sobre la misma, reconociendo adicionalmente los niveles de confidencialidad
que a cada activo debe drsele.
De esta forma y con base en las normas tcnicas colombianas NTC ISO/IEC 17799 y
NTC ISO/IEC 27001 en el tem Gestin de Activos se persigue dar cumplimiento a tres
puntos principales que son explcitos en las mismas as:
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
5 de 44
Inventario de Activos: Todos los activos deben estar claramente identificados y se debe
elaborar y mantener un inventario de todos los activos importantes de la organizacin.
Propiedad de los Activos: Toda la informacin y los activos asociados con los servicios
de procesamiento de informacin deben ser propiedad 1 de una parte designada de la
organizacin.
Directrices de Clasificacin: La informacin debe clasificarse en trminos de su valor, de
los requisitos legales, de la sensibilidad y la importancia para la organizacin.
Dado que todos los procesos de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. deben conocer y aplicar los criterios, procedimientos y
recomendaciones para el manejo y clasificacin de la informacin que se encuentran en
este documento, se ha buscado que el impacto de la aplicacin de los mismos sea el
mnimo en las actividades de los diferentes procesos de la SECRETARA GENERAL
Esta gua busca dar cumplimiento y tener como marco de aplicacin el manual de
seguridad de la informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR
DE BOGOT D.C., en el cual se estructura y se compilan las polticas y principios ticos
que orientan la actuacin de la institucin respecto de su conducta con respecto a la
seguridad su INFORMACIN.
1
El trmino Propietario identifica a un individuo o a una entidad que tiene responsabilidad aprobada de
la direccin por el control de la produccin, el desarrollo, el mantenimiento, el uso y la seguridad de los
activos. El trmino Propietario no implica que la persona tenga realmente los derechos de propiedad de
los activos.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
6 de 44
Este documento cuenta con una seccin de definiciones las cuales aplican al contenido
total del documento, por lo tanto los conceptos deben aplicarse y entenderse con base
en las definiciones dadas en este contexto.
Si se tiene alguna duda sobre informacin que no ha sido clasificada o si se piensa que
no se ha realizado adecuadamente su clasificacin, debe dirigir la inquietud al jefe
inmediato en su rea.
OBJETIVO del documento

Presentar los criterios, procedimientos y recomendaciones que deben ser utilizados por
los responsables de los procesos de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. para realizar y mantener el inventario y la clasificacin de
los activos de informacin que posee la entidad, para llevar a cabo las actividades que
bajo su responsabilidad todos los empleados tendrn como usuarios, propietarios o
custodios tcnicos de los activos de informacin del alcance consignado en este
documento.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
7 de 44
DEFINICIONES
Informacin: La informacin es un activo que, como otros activos importantes del
negocio, es esencial para las actividades de la organizacin y, en consecuencia,
necesita una proteccin adecuada 2.
Seguridad de la Informacin: La seguridad de la informacin es la proteccin de la
informacin contra una gran variedad de amenazas con el fin de asegurar la continuidad
del negocio, minimizar el riesgo y maximizar el retorno de inversiones y oportunidades
de negocio 3. Adicionalmente, se define como la preservacin de la confidencialidad,
integridad y disponibilidad de la informacin, adems, otras propiedades tales como
autenticidad, responsabilidad, no-repudio y confiabilidad pueden estar involucradas.
Clasificacin de la Informacin: Es el ejercicio por medio del cual se determina que la
informacin pertenece a uno de los niveles de clasificacin estipulados a nivel
corporativo. Tiene como objetivo asegurar que la informacin recibe el nivel de
proteccin adecuado. La informacin debe clasificarse en trminos de la sensibilidad y
la importancia para la organizacin.
Propietario de la Informacin: Es una parte designada de la organizacin, un cargo,
proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen
acceso y que pueden hacer con la informacin y de determinar cuales son los requisitos
para que la misma se salvaguarde ante accesos no autorizados, modificacin, prdida
2 Tomado de NTC ISO/IEC 17799:2005
3 Tomado de NTC ISO/IEC 17799:2005
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
8 de 44
de la confidencialidad o destruccin deliberada, y al mismo tiempo de definir que se

hace con la informacin una vez ya no sea requerida.
Custodio Tcnico: Es una parte designada de la organizacin, un cargo, proceso, o
grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad
(Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado)
que el propietario de la informacin haya definido, con base en los controles de
seguridad disponibles en la organizacin.
Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice

informacin de la organizacin en papel o en medio digital, fsicamente o a travs de las
redes de datos y los sistemas de informacin de la compaa. Son las personas que
utilizan la informacin para propsitos propios de su labor, adecuados y que tendrn el
derecho manifiesto de uso dentro del inventario de informacin. 4
4 Las personas que se relacionan con la Alcalda Mayor de Bogot D.C. estn obligadas a utilizar la
informacin a la cual tengan acceso en virtud de sus funciones o relacin contractual, exclusivamente
para el ejercicio de las mismas
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
9 de 44
INVENTARIO DE ACTIVOS DE INFORMACIN

Mediante la definicin de un inventario la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. especifica y reconoce cuales son los activos de informacin
ms importantes del negocio y define clasificar mnimo los activos de informacin que
se encuentran consignados en este inventario.
El inventario permite identificar los activos de informacin a los que se les debe brindar
mayor proteccin y que se puede requerir para servir a otros propsitos del negocio
como por ejemplo: controles de seguridad fsica, estudios financieros o de clculo de
primas de seguros (gestin de activos), entre otros.
Las actividades realizadas para obtener un inventario de activos son un prerrequisito de
la gestin de riesgos de seguridad de la informacin.
Procedimiento de Inventario
El procedimiento de inventario debe realizarse mediante la ejecucin de las siguientes
actividades:
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
10 de 44
Definicin
En el procedimiento de inventario la actividad de definicin consiste en reconocer y
determinar que activos de informacin van a hacer parte de la Matriz de Inventario y
Clasificacin de activos de informacin y para estos activos definir las propiedades y la
informacin que permite identificar el mismo en la organizacin, para obtener su valor
para el negocio.
La definicin es un ejercicio que debe ser realizado por cada proceso del negocio para
identificar e incluir nuevos activos de informacin a la Matriz de Inventario y
Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
11 de 44
La definicin se lleva a cabo de la siguiente manera:

Cada proceso del negocio deber hacer uso del instructivo de Levantamiento de
Informacin para Inventario y Clasificacin de Activos de Informacin y reportar
los nuevos activos de informacin del proceso y asignar los valores
correspondientes requeridos para cada campo del formato Definicin de Activos
por Proceso.
Cada lder de proceso ser responsable por esta actividad y por garantizar que los
activos ms importantes de su proceso han sido identificados y valorados.
El equipo de gestin de activos de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. ser el encargado de solicitar a los lderes de proceso
la
realizacin de la actividad de definicin y monitorear el desarrollo de esta
actividad por cada proceso.

En esta etapa, los lderes de proceso, debern en segunda instancia solicitar la
revisin de la definicin de activos realizada por el Propietario del Activo de
Informacin designado y del custodio tcnico designado, para que estos validen
que efectivamente ellos son las personas o parte de la organizacin adecuados
para tener esta designacin que se les ha dado en los campos de propiedad del
activo.
El lder de proceso deber finalmente entregar la definicin de sus activos de
informacin en el formato Definicin de Activos por Proceso al equipo de gestin
de activos de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
12 de 44
BOGOT D.C. para que estos integren la informacin en la Matriz de Inventario y

Clasificacin de Activos de Informacin de la SECRETARA GENERAL DE LA
La definicin del inventario se debe llevar a cabo cada 6 meses. Para el inventario de
activos de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
BOGOT D.C. se define que la siguiente informacin debe ser la mnima que debe
consignarse en la tabla de inventario de activos de informacin (Ver Matriz de Inventario
y Clasificacin de activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. en el Anexo 1 de este documento).
Informacin mnima
Propiedad
Es un grupo de informacin que permite determinar la propiedad de los activos y para el
cual la tabla de inventario define los siguientes campos:
Nombre del Activo: Es un campo que define la manera como se va a reconocer el
activo de informacin en la compaa, con un nombre particular y diferenciable.
Propietario 5.
Custodio Tcnico 6.
5
6
Ver 3. Definiciones
Ver 3. Definiciones
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
13 de 44
Tipo
Se define el tipo al cual pertenece el activo. Para este campo se utilizan los
siguientes valores:
INF (Informacin): Corresponden a este tipo las bases de datos y archivos de
datos, contratos y acuerdos, documentacin del sistema, informacin sobre
investigacin, manuales de usuario, procedimientos operativos o de soporte,
planes para la continuidad del negocio, acuerdos sobre retiro, pruebas de auditoria
e informacin archivada fsica o electrnicamente.
SOF (Software): software de aplicacin, software del sistema, herramientas de
desarrollo y utilidades.
FIS (Fsico): Equipos de computacin, equipos de comunicaciones, medios
removibles y otros equipos fsicos.
SER (Servicio): servicios de computacin y comunicaciones. (Pe: Acceso a
Internet, Paginas de consulta, Acceso a la red, etc.)
Valor
Este es un grupo de informacin para el cual se define y deben ser ingresados valores
en el rango desde Muy Bajo hasta Muy Alto para cada uno de los campos. Esta
informacin nos indica el valor que tiene el activo para el distrito, para el negocio o
especficamente para el proceso, ya que uno de los criterios importantes de su
clasificacin es en trminos de su valor. A continuacin se define el significado de cada
campo presente en la tabla de inventario:
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
14 de 44
C (Confidencialidad): Proteccin para que el activo de informacin sea accesible

solamente por aquellas personas autorizadas para ello. En este campo en el inventario
se presenta uno de los siguientes valores:
Criterio
Descripcin
Explicacin
MA
Muy Alto
Alto
Medio
Bajo
MB
Muy Bajo
El conocimiento o divulgacin no autorizada de este activo de

informacin impacta negativamente al Distrito.
informacin impacta negativamente a la Institucin o sus
negocios.
informacin impacta negativamente de manera importante al
proceso.
informacin impacta negativamente de manera leve al proceso.
informacin no tiene ningn impacto negativo en el proceso.
I (Integridad): proteccin de la exactitud y estado completo de la informacin y sus

mtodos de procesamiento.
Criterio
Descripcin
Explicacin
MA
Muy Alto
La prdida de exactitud y estado completo de la informacin y

mtodos de procesamientos impacta negativamente al Distrito.
Alto

mtodos de procesamientos impacta negativamente a la
Institucin o sus negocios.
Medio
Bajo

mtodos de procesamientos impacta negativamente de manera
importante al proceso.
2213200-GS-004 Versin 01

Criterio
MB
CDIGO
2213200-GS-004
VERSIN
01
PGINA:
15 de 44
Descripcin
Explicacin
Muy Bajo
mtodos de procesamientos impacta negativamente de manera

leve al proceso.
mtodos de procesamientos no tiene ningn impacto negativo
en el proceso.
D (Disponibilidad): Garantizar que los usuarios autorizados tengan acceso a los

activos de informacin cada vez que los requieren.
Criterio
Descripcin
Explicacin
MA
Muy Alto
Alto
Medio
Bajo
MB
Muy Bajo
La falta del activo de informacin impacta negativamente al

Distrito.
La falta del activo de informacin impacta negativamente a la
Institucin o sus negocios
La falta del activo de informacin impacta negativamente de
manera importante al proceso.
La falta del activo de informacin impacta negativamente de
manera leve al proceso.
La falta del activo de informacin no tiene ningn impacto
negativo en el proceso.
V (Valor): En este campo se encuentra definido el valor que tiene el activo de

informacin para el distrito, para la institucin o especficamente para el proceso:
Criterio
Descripcin
Explicacin
MA
A
Muy Alto
Alto
M
B
MB
Medio
Bajo
Muy Bajo
Apoya el cumplimiento de Objetivos Misionales de la institucin

Apoya el cumplimiento de los objetivos de la Institucin y/o
negocio
Apoya ampliamente el cumplimiento de objetivos del Proceso
Apoya levemente el cumplimiento de objetivos del Proceso
No apoya el cumplimiento de los objetivos del proceso
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
16 de 44
Acceso
El grupo de informacin denominado Acceso permite identificar que usuarios han sido
formalmente declarados y autorizados a hacer uso de la informacin y adicionalmente
identificar que tipos de acceso se manejan del activo para cada usuario o grupo de
usuarios. Los siguientes son los campos de informacin que se encuentran en la tabla
de inventario:
Usuarios.
Derechos de Acceso: Se definen los tipos de acceso identificados para cada
activo por cada usuario definido:
o (L) lectura, consulta.
o (E) Escritura.
o (M) Modificacin.
o (B) Borrado, eliminacin.
Ubicacin
Es la informacin acerca de donde se encuentra especficamente ubicado el activo de
informacin, puede ser un archivo fsico de oficina, archivo digital, sistema de
informacin, computador, base de datos, o aplicacin.
Para este grupo de informacin se indica si el activo se encuentra disponible en medio
fsico o en medio electrnico.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
17 de 44
Fsico: Se indica la informacin del sitio fsico en donde se encuentra el activo,

esto puede ser el nombre de una oficina, el nombre de un archivo, caja fuerte,
escritorio, A-Z, etc.
Electrnico: Se indica la informacin sobre el lugar en el que se encuentra el
activo disponible, esto puede ser el nombre de un servidor de archivos, base de
datos, sistema de gestin de documentos, medio, cinta, etc.
Fechas
Fecha de Ingreso a inventario: Es la fecha en la cual el activo de informacin se
incluy formalmente en el inventario en la actividad de definicin.
Fecha de Salida de Inventario: Es la fecha en la cual el activo de informacin se
excluy del inventario.
Revisin
La actividad de revisin se refiere a la verificacin que se puede llevar a cabo para
determinar si un activo de informacin continua o no siendo parte del inventario, o si los
valores asignados a los activos de informacin en los campos de la Matriz de Inventario
y Clasificacin deben ser actualizados.
El inventario de activos puede ser revisado en cualquier momento en que un lder de
proceso de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
as lo solicite, o si el equipo de gestin de activos lo solicita a algn lder de proceso.
Esta revisin del inventario ser aprobada por el equipo de gestin de activos cuando lo
considere pertinente debido a eventos que hacen que los valores asignados a los
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
18 de 44
activos no estn actualizados y no correspondan con la realidad, las razones por las
cuales puede gestarse una revisin son:
Actualizacin del proceso.
Inclusin de nuevas actividades en el proceso.
Inclusin de: nuevos registros de calidad, nuevos registros de referencia
procesos y procedimientos.
Inclusin de un nuevo activo importante.
Desaparicin de un rea, proceso o cargo en la compaa que tena asignado el
rol de propietario o custodio tcnico.
Cambios o migraciones de sistemas de informacin en donde se almacenan o
reposan activos de informacin ya inventariados.
Cambio fsico de la ubicacin de activos de informacin.
Para esta revisin se utiliza el formato Definicin de Activos por Proceso en el cual el
lder de proceso indica si
los elementos que fueron revisados se someten a
actualizacin o si son para Definicin.
Actualizacin
Una vez el equipo de gestin de activos recibe el formato Definicin de Activos por
Proceso diligenciado con los resultados de la revisin procede a actualizar la Matriz de
Inventario y Clasificacin de Activos de Informacin con los valores sugeridos para ello
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
19 de 44
por el lder de proceso o el equipo de gestin de activos, en el formato Definicin de

Activos por Proceso.
Publicacin
El inventario de activos de informacin es un documento de uso interno de la
SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C., y de acceso
de solo lectura para todos los usuarios internos autorizados. Slo debe tener acceso de
modificacin a este documento la persona que haya sido designada expresamente por
el equipo de gestin de activos para ello.
Este documento debe ser publicado en la Intranet de la SECRETARA GENERAL DE
LA ALCALDA MAYOR DE BOGOT D.C. y debe ser mantenido en el sistema de
gestin de la seguridad de la informacin con su respectivo control de versiones. Este
mismo documento hace parte del inventario y clasificacin de activos de informacin de
la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. por lo tanto
los requerimientos derivados de su clasificacin deben tenerse en cuenta.
Debe llevarse a cabo una presentacin formal del documento de inventario y
clasificacin de activos de informacin como mnimo a las personas que aparezcan
como propietarios o custodios tcnicos del algn activo.
Adicionalmente se debe informar a todos los empleados de la SECRETARA GENERAL
DE LA ALCALDA MAYOR DE BOGOT D.C., a travs de una circular interna, acerca
de la disposicin y publicacin de este documento y a partir de que fecha inicia su
vigencia informando que el mismo indica responsabilidades asociadas para todos los
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
20 de 44
empleados de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT

D.C.
CLASIFICACIN DE ACTIVOS DE INFORMACIN

La clasificacin de activos de informacin tiene como objetivo asegurar que la
informacin recibe los niveles de proteccin adecuados. La informacin con base en su
valor y de acuerdo a los requisitos de confidencialidad tiene diferentes grados de
proteccin o manejo especial que se definen en la clasificacin de activos de
informacin.
En este documento se define el esquema de clasificacin para estipular los niveles de
proteccin para cada activo de informacin y sealar las consideraciones especiales de
manejo, restricciones, distribucin, almacenamiento y destruccin de la informacin.
Los lderes de proceso que definieron el activo de informacin en el inventario deben
revisar y confirmar el nivel de clasificacin asignado al activo, y confirmar si el activo
est clasificado adecuadamente.
Definicin
La clasificacin de los activos de informacin de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. se basa en la informacin del inventario
consignado en este documento. Se define un esquema de clasificacin que se basa en
los siguientes componentes:
1) Niveles de Clasificacin y de Confidencialidad.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
21 de 44
o Niveles de Acceso.
o Mtodos de Distribucin.
o Restricciones en la Distribucin Electrnica.
o Almacenamiento y Archivado.
o Destruccin.
o Penalizaciones por revelacin deliberada de la informacin.
Cada activo de informacin tendr asociado un nico nivel de clasificacin y un nico

nivel de confidencialidad. Cada nivel de confidencialidad posee caractersticas propias
de proteccin, manejo y tratamiento del activo de informacin en cuanto a: Niveles de
Acceso, Mtodos de Distribucin, Restricciones en la Distribucin Electrnica,
Almacenamiento, Archivado, Disposicin y Destruccin. Una vez que a un activo de
informacin le es asignado un nivel de confidencialidad este adquiere las caractersticas
especficas anteriormente mencionadas para el nivel especfico de confidencialidad
asignado.
Adicionalmente para cada activo de informacin se definen unos atributos de
clasificacin, estos indican propiedades adicionales y especficas que cada activo de
informacin posee y las cuales permiten identificar el nivel de riesgo base inherente a
cada activo de informacin con respecto a la preservacin del nivel de confidencialidad
asignado.
Como resultado de esta clasificacin se genera una tabla de clasificacin de los activos
de informacin de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT
D.C.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
22 de 44
Niveles de Clasificacin y de Confidencialidad

Los Niveles de Clasificacin y Confidencialidad de los activos de informacin de la
ALCALDA MAYOR DE BOGOT D.C. son los siguientes:
Niveles de Clasificacin
Pblica: La informacin pblica de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C. es la informacin que ha sido declarada de conocimiento
pblico de acuerdo a alguna norma jurdica o por parte de la persona o grupo de
personas de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C.
con autoridad para hacerlo. Esta informacin puede ser entregada o publicada sin
restricciones a los empleados o a cualquier persona sin que esto implique daos a
terceros ni a las actividades y procesos de la SECRETARA GENERAL DE LA
Confidencial: La informacin confidencial de la SECRETARA GENERAL DE LA
ALCALDA MAYOR DE BOGOT D.C. es toda aquella informacin que no es Pblica y
que adems no ha sido an clasificada en este documento. A la informacin
confidencial slo pueden tener acceso las personas que expresamente han sido
declaradas usuarios legtimos de esta informacin, y con los privilegios asignados, tal
como aparece consignado en el inventario de activos de informacin.
A esta categora se asocia la informacin propiedad de terceros que la SECRETARA
GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. utiliza bajo acuerdos de
confidencialidad o por licencias de uso. Los directores definirn cual informacin es
Reservada o Confidencial.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
23 de 44
Niveles de confidencialidad
La informacin confidencial debe ser entendida como: La existencia de informacin ms
crtica a nivel de prdida de su confidencialidad que otra y que por ende debe tener una
mayor proteccin.
La informacin que es confidencial hoy puede llegar a ser pblica en un momento
posterior, de conocimiento pblico para un conjunto de personas y parte de ella es
pblica para la comunidad en general en algunos casos.
Para saber cuando puede permitrsele el acceso y uso de la informacin a personas
distintas a las responsables de la misma y para poder establecer el grado de proteccin
que se le debe aplicar a la informacin de la institucin es necesario clasificarla
totalmente en trminos de su confidencialidad.
Para realizar una clasificacin ms precisa y fcil de manejar se definen tres grados de
confidencialidad de la informacin para la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C.: de uso interno, restringida y altamente restringida. A
continuacin encontramos su definicin especfica:
Uso Interno
Es toda informacin consignada en el inventario de activos de informacin que es
utilizada por el personal de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE
BOGOT D.C. para realizar sus labores en los procesos y que no puede ser conocida
por terceros sin autorizacin del propietario del activo. En caso de ser conocida,
utilizada o modificada por personas sin la debida autorizacin, impactara de forma leve
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
24 de 44
a terceros o a los sistemas y/o procesos de la SECRETARA GENERAL DE LA

Restringida
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y
que no puede ser conocida por otros empleados o terceros sin autorizacin del
propietario de la informacin. En caso de ser conocida, utilizada o modificada por
personas sin la debida autorizacin, impactara de forma importante a terceros o a los
sistemas y/o procesos de la institucin.
Altamente Restringida
Informacin que es utilizada por solo un grupo de empleados para realizar sus labores y
que no puede ser conocida por otros empleados o terceros sin autorizacin especial de
la Gerencia. En caso de ser conocida, utilizada o modificada por personas sin la debida
autorizacin, impactara de forma grave a terceros o a los sistemas, a la institucin o al
distrito.
Para el esquema de clasificacin de la SECRETARA GENERAL DE LA ALCALDA
MAYOR DE BOGOT D.C., la relacin que se establece entre los niveles de
Clasificacin y los niveles de confidencialidad es como se muestra en la figura 1.
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
25 de 44
Figura 1. Niveles de Confidencialidad y Clasificacin la ALCALDA MAYOR DE BOGOT D.C.
Los diferentes niveles de clasificacin tienen las siguientes caractersticas y

recomendaciones de manejo:
2213200-GS-004 Versin 01
Nivel de Clasificacin
1. Definicin
Pblica
Uso Interno
Restringida
La informacin pblica de la ALCALDA

MAYOR DE BOGOT D.C. es la informacin
que ha sido declarada de conocimiento
pblico de acuerdo a alguna norma jurdica o
por parte de la persona o grupo de personas
de la ALCALDA MAYOR DE BOGOT D.C.
con autoridad para hacerlo. Esta informacin
puede ser entregada o publicada sin
restricciones a los empleados o a cualquier
persona sin que esto implique daos a
terceros ni a las actividades y procesos de la
Es toda informacin consignada

en el inventario de activos de
informacin que es utilizada por el
personal de la
ALCALDA
MAYOR DE BOGOT D.C. para
realizar sus labores en los
procesos y que no puede ser
conocida
por
terceros
sin
autorizacin del propietario del
activo. En caso de ser conocida,
utilizada
o
modificada
por
personas
sin
la
debida
autorizacin, impactara de forma
leve a terceros o a los sistemas
y/o procesos de la ALCALDA
MAYOR DE BOGOT D.C.
Informacin que es utilizada por

solo un grupo de empleados para
realizar sus labores y que no
puede ser conocida por otros
empleados o terceros sin
autorizacin del propietario de la
informacin. En caso de ser
conocida, utilizada o modificada
por personas sin la debida
importante a terceros o a los
sistemas y/o procesos de la
institucin.
Pgina 26 de 44
Informacin que es utilizada por
solo un grupo de empleados para
realizar sus labores y que no puede
ser conocida por otros empleados
o terceros sin autorizacin especial
de la Gerencia. En caso de ser
conocida, utilizada o modificada
por personas sin la debida
grave a terceros o a los sistemas, a
la institucin o al distrito.
2213200-GS-004 Versin 01
Pblica
Restringida
Calificacin de Confidencialidad:
Muy baja (MB):"El conocimiento o divulgacin

no autorizada de este activo de informacin
no tiene ningn impacto negativo en el
proceso."
Baja (B): "El conocimiento o

divulgacin no autorizada de este
activo de informacin impacta
negativamente de manera leve al
proceso."
Media (M): "El conocimiento o
negativamente de manera
importante al proceso."
Atributos:
A3: "Restringida a personas
externas"
Alta (A): " El conocimiento o

negativamente a la Institucin o
sus negocios".
Muy Alta (MA): " El conocimiento o

negativamente al Distrito.
Atributos:
Atributos A8 (G):
A2: "Restringido a un numero

determinado de empleados".
El impacto para la organizacin es

Grave en caso de ser conocida,
modificada o no tener
disponibilidad.
Todos los Empleados de La

Alcalda Mayor de Bogot D.C. y
contratistas con un compromiso
firmado de confidencialidad y con
autorizacin del propietario para
su uso.
Solo los Usuarios expresamente

autorizados en el Inventario de
activos y subcontratistas con un
compromiso firmado
confidencialidad y con
autorizacin del propietario para
su uso.
Empleados de La Alcalda Mayor

de Bogot D.C. con un compromiso
firmado de confidencialidad de
informacin y con autorizacin
formal de la gerencia para acceder
a esta informacin.
2. Criterio de
Definicin de
Confidencialidad
Atributos:
A2: "No esta restringida a un numero limitado
de empleados".
A3: "No restringida a personas externas".
A7: "Declarado de conocimiento publico".
Todos (Cualquier persona Interna o Externa)
3. Acceso
permitido
Uso Interno
5. Etiquetado
Pgina 27 de 44
2213200-GS-004 Versin 01
Pblica
Uso Interno
Restringida
a. Documentos en
Papel
a. No es requerido
a. No es requerido, queda a
discrecin del propietario de la
informacin. En caso de
etiquetarse, si un documento que
se haya impreso no posee el
campo "Nivel de
Confidencialidad", prediligenciado
por medio de formato electrnico,
entonces se deber etiquetar con
un sello de tinta correspondiente a
su clasificacin en su primera
pgina como mnimo.
SI, es obligatorio por parte del

Propietario de la informacin. Si
un documento que se haya
impreso no posee el campo "Nivel
de Confidencialidad",
prediligenciado por medio de
formato electrnico, entonces se
deber etiquetar con un sello de
tinta correspondiente a su
clasificacin en su primera pgina
como mnimo.

Propietario de la informacin. Si un
documento que se haya impreso
no posee el campo "Nivel de
Confidencialidad", prediligenciado
por medio de formato electrnico,
entonces se deber etiquetar con
un sello de tinta correspondiente a
su clasificacin en su primera
pgina como mnimo.
b. Archivos
Electrnicos (Texto,
Word, Excel, dibujos,
planos, etc.)
b. No es requerido.
b. No es requerido, queda a
etiquetarse los documentos o
informacin que estn en archivos
electrnicos se les debe agregar
un campo de informacin que
indique el nivel de clasificacin del
mismo y que hagan parte de los
formatos manejados.

Propietario de la informacin. Los
documentos o informacin que
estn en archivos electrnicos se
les debe agregar un campo de
informacin que indique el nivel de
clasificacin del mismo y que
hagan parte de los formatos
manejados.

Propietario de la informacin. Los
documentos o informacin que
estn en archivos electrnicos se
les debe agregar un campo de
informacin que indique el nivel de
clasificacin del mismo y que
hagan parte de los formatos
manejados.
Pgina 28 de 44
2213200-GS-004 Versin 01
Pblica
c. No es requerido.
c. Aplicaciones
d. Carpetas en
Sistemas
d. No es requerido
Uso Interno
Restringida
c. No es requerido, queda a
etiquetarse, las aplicaciones que
procesen o almacenen temporal o
indefinidamente informacin, y si
lo permiten, se les debe agregar
un cuadro de dilogo en donde se
informe su nivel de clasificacin.

Propietario de la informacin. Las
aplicaciones que procesen o
almacenen temporal o
indefinidamente informacin, y si
lo permiten, se les debe agregar
un cuadro de dilogo en donde se

aplicaciones que procesen o
almacenen temporal o
indefinidamente informacin, y si lo
permiten, se les debe agregar un
cuadro de dilogo en donde se
d. No es requerido, queda a
etiquetarse, las carpetas en
servidores de archivos o en PCS
se les debe colocar un nombre o
identificador distintivo (icono en
algunos sistemas) con el nivel de
clasificacin a cada carpeta que
almacena la informacin
clasificada.

carpetas en servidores de
archivos o en PCS se les debe
colocar un nombre o identificador
distintivo (cono en algunos
sistemas) con el nivel de
clasificacin a cada carpeta que
almacena la informacin
clasificada.

carpetas en servidores de archivos
o en PCS se les debe colocar un
nombre o identificador distintivo
(cono en algunos sistemas) con el
nivel de clasificacin a cada
carpeta que almacena la
informacin clasificada.
6. Mtodo de
distribucin
recomendado
Pgina 29 de 44
2213200-GS-004 Versin 01
Pblica
a. Internamente
a. Ninguno. Esta informacin puede

distribuirse en cualquier medio al pblico en
general, incluso a cualquier ente o persona
por fuera de la organizacin.
Uso Interno
Restringida
Electrnica: Mediante el sistema

de correo electrnico de La
Alcalda Mayor de Bogot D.C. y a
travs de las redes de datos y
sistemas de La Alcalda Mayor de
Bogot D.C. nicamente. Se debe
evitar en lo posible manejar esta
informacin en dispositivos de
almacenamiento externo (Diskets,
CDS, DVD's, memorias USB, SD,
etc.) que no sean autorizados por
La Alcalda Mayor de Bogot D.C.
Electrnica: Mediante el sistema

de correo electrnico de La
Alcalda Mayor de Bogot D.C. y a
travs de las redes de datos y
sistemas de la nicamente. Se
debe evitar en lo posible manejar
esta informacin en dispositivos
de almacenamiento externo
(Diskets, CDS, DVD's, memorias
USB, SD, etc.) que no sean
autorizados por La Alcalda Mayor
de Bogot D.C.
Electrnico: Solo en la red de la

Alcalda Mayor de Bogot D.C. y
los archivos debern estar cifrados,
la entrega se hace solo a un
destinatario legtimo del inventario
de activos de informacin. (Se
recomienda el uso de certificado
digital en el correo electrnico)
Fsica: Proceso de manejo de

correspondencia interno.
Fsica: Proceso de manejo de

correspondencia interno,
verificando que el destinatario si
es un usuario autorizado en el
inventario de activos de
informacin, de otra forma se
requiere de autorizacin por parte
del propietario de la informacin.
Pgina 30 de 44
Fsica: Entrega directa, firma de

recepcin personal requerida no
transferible, entregada por el
propietario de la informacin
directamente.
2213200-GS-004 Versin 01
Pblica
b. Hacia Terceros
b. Ninguno. Esta informacin puede

distribuirse en cualquier medio al pblico en
general, incluso a cualquier ente o persona
por fuera de la organizacin.
Uso Interno
Restringida
Debe ser entregada a un tercero

solo si es una obligacin
contractual o de negocio bien
conocida o si hay una autorizacin
formal del propietario de la
informacin para su entrega.


Electrnica: Si se entrega en
medio electrnico en lo posible se
debe tener los archivos y/o datos
de acceso de solo lectura. Se
puede entregar la informacin va
e-mail a destinatarios con cuentas
por fuera de La Alcalda Mayor de
Bogot D.C. Se debe evitar utilizar
listas de distribucin al momento
de enviar este tipo de informacin.
Electrnica: Si se entrega en
medio electrnico en lo posible se
debe tener los archivos y/o datos
de acceso de solo lectura. No se
puede entregar la informacin va
e-mail a destinatarios con cuentas
por fuera de los sistemas de
correo de La Alcalda Mayor de
Bogot D.C. si la informacin no
posee clave. Se debe evitar
utilizar listas de distribucin al
momento de enviar este tipo de
informacin.
Electrnico: Siempre se debe

entregar esta informacin de
manera cifrada al destinatario
legtimo directamente. (Se debe
utilizar certificado digital si se
requiere obligatoriamente transmitir
por correo electrnico)
Fsica: Si es posible se debera

entregar solo en medio fsico
(Papel), el menor nmero de
copias posible, y solo al receptor
autorizado, firmando una carta de
recibido.
Fsico: En este caso debe utilizarse

una empresa de transporte de
valores con un proceso formal de
verificacin del destinatario y
entrega directa.
Fsica: Si es posible se debera

entregar solo en medio fsico
(Papel), el menor nmero de
copias posible, y solo al receptor
autorizado, firmando una carta de
recibido, mediante la empresa de
mensajera de La Alcalda Mayor
de Bogot D.C. o directamente por
parte del propietario de la
informacin.
Pgina 31 de 44
2213200-GS-004 Versin 01
Pblica
Uso Interno
Restringida
7.
Almacenamiento
y archivado
a. Informacin
Impresa.
a. No requiere precauciones especiales.
a. Se debe establecer una poltica

de escritorio limpio, asegurar el
acompaamiento y seguimiento
de las acciones de personas
externas en las instalaciones.
a. Se debe archivar en reas

seguras bajo llave (Cajones,
Cuarto de archivo, estantes, etc.)
Pgina 32 de 44
a. Se debe archivar en reas

seguras bajo llave (Cajones,
Cuarto de archivo, estantes, etc.).
Se recomienda guardar este tipo
de informacin en caja fuerte si es
posible. Cada vez que se archive
asegrese de que sea por fuera de
la vista de otras personas.
2213200-GS-004 Versin 01
Pblica
Uso Interno
Restringida
b. Se debe almacenar en sistemas

o repositorios centralizados, bien
administrados desde donde se
comparta la informacin, est
prohibido dejar sin proteccin de
autenticacin de usuario/password
esta informacin y con los
privilegios indicados en el
inventario de activos de
informacin y los asignados por el
propietario a los usuarios
autorizados. Debe evitarse
almacenar este tipo de
informacin en PCS que no
tengan administracin formal de
seguridad. Debe existir copia de la
informacin solamente en los
medios, sistemas de informacin o
recursos indicados en el campo
ubicacin del inventario de activos
de informacin.
c. asegrese de que la
informacin no queda en los
elementos enviados y
adicionalmente asegrese de que
el backup del correo electrnico se
realiza de manera segura
(protegido con usuario y
contrasea).
b. Los controles individuales

mnimos sugeridos para la
informacin digital son: la
autenticacin con usuario y
contrasea al sistema donde
reposa la informacin y
adicionalmente usuario y
contrasea para el archivo (si es
posible se debe cifrar la
informacin). Si esta informacin
se encuentra en un PC o porttil, al
equipo deben tener acceso solo las
personas autorizadas,
preferiblemente utilizando
autenticacin fuerte de mnimo dos
factores. Debe existir copia de la
de informacin.
c. Se debe evitar en lo posible el
uso de este medio, en caso de que
sea necesario debe manejarse a
travs de certificados digitales.
b. Informacin
Electrnica
b. No requiere precauciones especiales.
b. Se puede almacenar en
cualquier sistema o repositorio
siempre y cuando se asegure que
no es accesible a personas por
fuera de las redes y sistemas de
informacin de La Alcalda Mayor
de Bogot D.C. (i.e. desde
Internet, servicios FTP, Web, etc.).
Debe existir copia de la
de informacin.
c. e-mail
c. No requiere precauciones especiales.
c. Se debe asegurar que esta

informacin no se enve a terceros
no autorizados para recibirla por
este medio.
Pgina 33 de 44
2213200-GS-004 Versin 01
Pblica
Uso Interno
Restringida
8. Destruccin
a. No requiere precauciones
especiales.
a. Se deben utilizar mquinas

destructoras de papel.
c. Es permitido sin restricciones.
c. Es permitido solo para uso

interno.
d. Borrado seguro de informacin,
destruccin fsica de medios que
vayan a desecharse.
c. No es permitido.
a. Debe utilizarse una destructora

de papel pero preferiblemente debe
incinerarse y esta accin debe ser
llevada a cabo por el propietario del
activo.
c. No es permitido.

vayan a desecharse.

vayan a desecharse.
a. Informacin
Impresa.
c. Reciclaje de Papel
d. Medios de
almacenamiento
d. No requiere precauciones especiales.
9. Transmisin
Oral
Pgina 34 de 44
2213200-GS-004 Versin 01
Pblica
a. Conversaciones y
reuniones
Uso Interno
Restringida
a. Se debe evitar referenciar esta

informacin por fuera de las
instalaciones de La Alcalda Mayor
de Bogot D.C., cuando se lleven
a cabo deben ser en
conversaciones privadas y en voz
baja, evitando en lo posible zonas
pblicas, tales como elevadores,
pasillos, cafeteras, etc.

de Bogot D.C. al menos que sea
una reunin formal por fuera de
las mismas. Evite reunirse en
salas que no sean cerradas y que
no permitan aislar el ruido. Si la
informacin fue anotada en
papelgrafos o tableros, o
documentos no formales (trozos
de papel, libretas o agendas
personales, etc.), esta debe ser
borrada o destruida
inmediatamente se abandone el
sitio o se transfiera a un medio
formal dispuesto por La Alcalda
Mayor de Bogot D.C. (Archivo de
Acta, archivo formal de notas,
etc.).

de Bogot D.C. al menos que sea
una reunin formal por fuera de las
mismas. Evite reunirse en salas
que no sean cerradas y que no
permitan aislar el ruido. En lo
posible asegrese que esta
informacin solo es transmitida
solo a las mnimas personas
necesarias. Si la informacin fue
anotada en papelgrafos o
tableros, o documentos no
formales (trozos de papel, libretas
o agendas personales, etc.), esta
debe ser borrada o destruida
inmediatamente se abandone el
sitio o se transfiera a un medio
formal dispuesto por La Alcalda
Mayor de Bogot D.C. (Archivo de
Acta, archivo formal de notas, etc.).
Pgina 35 de 44
2213200-GS-004 Versin 01
Pblica
Uso Interno
b. No se debera entregar
informacin de uso interno a
personas no autorizadas por este
medio.
c. No se debera entregar
medio.
a. Localizacin de la
Mquina de FAX
a. No debe estar disponible al pblico en

general (externo)
a. No debe estar disponible al

pblico en general (externo)
b. Uso de Cubierta de
FAX
b. Si se requiere cubierta. Debe identificar a la b. Si se requiere cubierta. Debe

compaa
identificar a la compaa
b. Telefnica
c. Voice Mail o
maquina de grabacin
automtica de
mensajes
Restringida
b. Evite en lo posible establecer

conversaciones telefnicas en
donde se maneje este tipo de
informacin, ms aun si hay
posibles escuchas no autorizados
cerca del sitio en donde se
encuentra. Si se requiere haga
uso de un telfono en una zona
segura o aislada (Sala de
reuniones, tele conferencia)
c. No se deberan dejar mensajes
con este tipo de informacin
b. Evite establecer conversaciones

telefnicas en donde se maneje
este tipo de informacin, ms aun
si hay posibles escuchas no
autorizados cerca del sitio en
donde se encuentra. Si se requiere
haga uso de un telfono en una
zona segura o aislada (Sala de
reuniones, tele conferencia)
a. No debe estar disponible a

personas no autorizadas y se
debe tener bajo supervisin
especfica (i.e. Asistente,
secretaria, etc.).
b. Si se requiere cubierta. Debe
identificar a la compaa y debe
estar etiquetado como
confidencial.
a. No debe estar disponible a

personas no autorizadas y se debe
tener bajo supervisin especfica
(i.e. Asistente, secretaria, etc.) y en
oficina cerrada.
b. Se debe evitar la transmisin por
FAX, solo con autorizacin de la
gerencia se debe llevar a cabo. En
tal caso se debe etiquetar como
altamente confidencial.

10. Transmisin
por FAX
Pgina 36 de 44
2213200-GS-004 Versin 01
Pblica
Uso Interno
Restringida
b. No se debera entregar
medio.
c. Es permitido sin restricciones.

a. Estaciones de
Trabajo
a. Se debe bloquear el equipo con proteccin

de contrasea apenas se abandone y
adicionalmente tener un protector de pantalla
que bloquee el equipo en un tiempo corto
automticamente en caso de olvido. En un
tiempo ms largo se puede configurar la
estacin para que se apague
automticamente y no quede disponible en la
red. Se debe tener un estricto control de
vigilancia para el retiro de estaciones de
trabajo por fuera de las instalaciones.
a. Se debe bloquear el equipo con

proteccin de contrasea apenas
se abandone y adicionalmente
tener un protector de pantalla que
bloquee el equipo en un tiempo
corto automticamente en caso de
olvido. En un tiempo ms largo se
puede configurar la estacin para
que se apague automticamente y
no quede disponible en la red. Se
debe tener un estricto control de
vigilancia para el retiro de
estaciones de trabajo por fuera de
las instalaciones.

las instalaciones.

las instalaciones. Conecte lo
menos posible la estacin a la red
de la institucin o a Internet.
b. Informacin
Impresa en zona de
impresin
b. Se debe tener las impresoras

por fuera del alcance del pblico
en general y se debe buscar la
impresin inmediatamente.
b. Se debe tener las impresoras

por fuera del alcance del pblico
en general y se debe buscar la
impresin inmediatamente.
b. Se debe tener una persona

atendiendo todo el proceso de
impresin en la zona de impresoras
desde el inicio, esta debe estar
autorizada a ver la informacin.
c. Cuidados en la
transmisin
11. Seguridad
Fsica
Pgina 37 de 44
2213200-GS-004 Versin 01
Pblica
Uso Interno
Restringida
c. Nunca debe dejarlo solo el
equipo y siempre debe utilizar
cable de aseguramiento (lockdown
cable) y si no es posible se debe
dejar bajo vigilancia y cuando se
salga de la oficina se debe dejar
este bajo llave. Se debe procurar
tener la informacin cifrada.
d. el acceso a las reas que
poseen informacin confidencial
debe tener algn tipo de restriccin
fsica de acceso (Puerta con llave,
tarjeta, vigilancia), este control
debe ser aplicado cuando la oficina
este desatendida.
c. Lap Tops, PDA's
c. No descuide el equipo en zonas

que no posean vigilancia o control
de salida de equipos.
c. Nunca debe dejarlo solo el

equipo y siempre debe utilizar
cable de aseguramiento (lockdown
cable), y si no es posible se debe
dejar bajo vigilancia y cuando se
salga de la oficina se debe dejar
este bajo llave.
d. Acceso a Oficina
d. No requiere precauciones especiales.
d. No requiere precauciones
especiales.
d. el acceso a las reas que

poseen informacin confidencial
debe tener algn tipo de
restriccin fsica de acceso
(Puerta con llave, tarjeta,
vigilancia), este control debe ser
aplicado cuando la oficina este
desatendida.
a. No requiere precauciones
especiales.
a. Solo cuando sea necesario.
12. Fotocopiado
de Informacin
a. Tipo de copias
permitidas.
Pgina 38 de 44
a. Debe ser autorizado por el

propietario de la informacin.
2213200-GS-004 Versin 01
Pgina 39 de 44
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
40 de 44
Atributos de Clasificacin
A cada activo de informacin se le relacion uno o ms atributos, los cuales
permiten identificar su sensibilidad y justificar el valor asignado al activo y
adicionalmente permitirn obtener elementos que permitan darle un tratamiento
adecuado. Los atributos asociados al activo de informacin y que se tiene como
informacin de referencia en la matriz de inventario y clasificacin de activos de
informacin es la siguiente:
A1: Activo de informacin de clientes o terceros que debe protegerse.
A2: Activo de informacin que debe ser restringido a un nmero limitado de
empleados.
A3: Activo de informacin que debe ser restringido a personas externas.
A4: Activo de informacin que puede ser alterado o comprometido para
fraudes corrupcin.
A5: Activo de informacin que es muy crtico para las operaciones internas.
A6: Activo de informacin que es muy crtico para el servicio hacia terceros.
A7: Activo de informacin que ha sido declarado de conocimiento pblico por
parte de la persona con autoridad para hacerlo o por alguna norma jurdica.
A8: Activo de informacin que en caso de ser conocido, utilizado o modificado
por alguna persona o sistema sin la debida autorizacin, impactara de forma
leve a terceros, a los sistemas y/o procesos de la institucin.
Pgina 40 de 44
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
41 de 44
A9: Activo de informacin que en caso de ser conocido, utilizado o modificado

por alguna persona o sistema sin la debida autorizacin impactara de forma
importante a terceros, a los sistemas y/o procesos de la institucin.
A10: Activo de informacin que en caso de ser conocido, utilizado o
modificado por alguna persona o sistema sin la debida autorizacin
impactara de forma grave a terceros, a los sistemas y/o procesos de la
institucin.
Procedimiento de clasificacin
La clasificacin de la informacin se lleva a cabo bajo el mismo procedimiento del
inventario de activos de informacin (Definicin, Revisin, Actualizacin y
Publicacin). La diferencia que se suscita es que en la definicin despus de que el
lder de proceso lleva a cabo el levantamiento de informacin, el equipo de gestin
de activos es quien asigna los niveles de clasificacin de acuerdo a la informacin
consignada en la matriz de Inventario y clasificacin.
En este sentido lo que se realiza es el llenado de la columna clasificacin con
alguno de los siguientes valores:
Publica
Uso Interno
Restringida
Pgina 41 de 44
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
42 de 44
Estos valores se consiguen a partir del valor consignado en el campo

confidencialidad y los atributos sobre la informacin:
Pblica
Uso Interno
Restringida
Altamente
restringida
Calificacin de
Confidencialidad:
Calificacin de
Confidencialidad:
Calificacin de
Confidencialidad:
Calificacin de
Confidencialidad:
Muy baja (MB):"El

conocimiento o divulgacin no
autorizada de este activo de
informacin no tiene ningn
impacto negativo en el
proceso."
Baja (B): "El conocimiento o

divulgacin no autorizada de
este activo de informacin
impacta negativamente de
manera leve al proceso."
Alta (A): " El conocimiento o

impacta negativamente a la
Institucin o sus negocios".
Muy Alta (MA): " El

conocimiento o divulgacin no
autorizada de este activo de
informacin impacta
negativamente al Distrito.
Media (M): "El conocimiento o

impacta negativamente de
manera importante al proceso."
Atributos:
Atributos:
A3: "Restringida a personas

externas"
A2: "No esta restringida a un

numero limitado de
empleados".
A3: "No restringida a personas
externas".
A7: "Declarado de
conocimiento publico".
Atributos:
Atributos A8 (G):
A2: "Restringido a un numero
determinado de empleados".
El impacto para la organizacin

es Grave en caso de ser
conocida, modificada o no
tener disponibilidad.
El equipo de gestin de activos lleva a cabo esta revisin y actualizacin con los
valores correspondientes.
Recomendaciones
Las siguientes son las recomendaciones asociadas al manejo del esquema de
clasificacin de activos de informacin de la GENERAL DE LA ALCALDA MAYOR
DE BOGOT D.C., tendientes a que la elaboracin, actualizacin y manejo del
mismo se mantenga de manera adecuada en el tiempo.
Pgina 42 de 44
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
43 de 44
Este documento debe hacer parte del Sistema de Gestin de la Seguridad de

la Informacin, as como todos los anexos: tablas, formatos e instructivos que
lo conforman. Se recomienda que la NO aplicacin del procedimiento aqu
consignado debe considerarse una no conformidad dentro del SGSI.
A los propietarios de la informacin y los custodios tcnicos se les debe
informar y adjudicar formalmente las responsabilidades que cada uno tiene
sobre los activos de informacin y que se derivan del inventario y clasificacin
consignado en ste documento.
Se recomienda que el custodio tcnico haya sido designado formalmente por
el propietario del activo o por el rea con autoridad para hacerlo, de acuerdo a
las responsabilidades asociadas en la recomendacin anterior. Las labores de
salvaguardar las propiedades de seguridad del activo se pueden delegar al
custodio, pero la responsabilidad sigue siendo del propietario de la
informacin, por lo tanto se recomienda que el propietario establezca
mecanismos de monitoreo y revisin a travs de los cuales asegure que estos
requisitos de seguridad estn siendo administrados y gestionados por el
custodio tcnico del activo.
Los lderes de proceso son los encargados de definir el valor de los campos de
informacin del inventario, debe revisarlo peridicamente y asegurarse del
proceso de actualizacin de la informacin con los valores adecuados. El
propietario del activo debe dar el visto bueno a dicha valoracin.
Se recomienda que dentro de los procesos de desvinculacin de personal o de
eliminacin de un cargo se haga una revisin de si la persona se encontraba
Pgina 43 de 44
2213200-GS-004 Versin 01

CDIGO
2213200-GS-004
VERSIN
01
PGINA:
44 de 44
como propietario o custodio tcnico de algn activo para de esta forma llevar a
cabo una revisin y actualizacin al inventario.
Se recomienda que dentro de los procesos de vinculacin de personal o de
creacin de un nuevo cargo se haga una revisin de si la persona debe ser
propietario o custodio tcnico de algn activo para de esta forma llevar a cabo
una revisin y actualizacin al inventario y la clasificacin.
Cada vez que se cambie o migre un sistema de informacin, servicio,
aplicacin o cualquier utilidad que almacene algn activo de informacin se
debe generar una actualizacin al inventario en su campo Ubicacin.
A nivel documental para todos los procesos es importante tener una
diferenciacin clara en el nombre de los documentos que sean de trabajo
preliminar o que an no sean oficiales, de tal forma que se nombren
formalmente como borrador, preliminar o proyecto de... Esto debe aplicar
para todos los documentos que tengan un nivel de clasificacin diferente antes
y despus de ser oficiales.
Se recomienda declarar la vigencia del inventario de activos de informacin
una vez todas las recomendaciones aqu sugeridas hayan sido implementadas
y se hayan definidos todos los procedimientos asociados a la gua de
inventario y clasificacin.
Pgina 44 de 44
2213200-GS-004 Versin 01

Inventario Activos de La Información

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Inventario Activos de La Información

Загружено:

Авторское право:

Доступные форматы

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

ACTIVOS DE INFORMACIN DE LA SECRETARA GENERAL

DIRECCIN DISTRITAL DE DESARROLLO INSTITUCIONAL

Juan Carlos Cely

Juan Carlos Cely

Oscar Alberto Cardona

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

NOMBRE DEL DOCUMENTO:

Historia del documento

Documentos asociados (Este documento debe ser ledo en conjunto con)

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

OBJETIVO del documento

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

de la confidencialidad o destruccin deliberada, y al mismo tiempo de definir que se

Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

INVENTARIO DE ACTIVOS DE INFORMACIN

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

La definicin se lleva a cabo de la siguiente manera:

realizacin de la actividad de definicin y monitorear el desarrollo de esta

actividad por cada proceso.

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

BOGOT D.C. para que estos integren la informacin en la Matriz de Inventario y

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

C (Confidencialidad): Proteccin para que el activo de informacin sea accesible

El conocimiento o divulgacin no autorizada de este activo de

I (Integridad): proteccin de la exactitud y estado completo de la informacin y sus

La prdida de exactitud y estado completo de la informacin y

La prdida de exactitud y estado completo de la informacin y

La prdida de exactitud y estado completo de la informacin y

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

mtodos de procesamientos impacta negativamente de manera

D (Disponibilidad): Garantizar que los usuarios autorizados tengan acceso a los

La falta del activo de informacin impacta negativamente al

V (Valor): En este campo se encuentra definido el valor que tiene el activo de

Apoya el cumplimiento de Objetivos Misionales de la institucin

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

Fsico: Se indica la informacin del sitio fsico en donde se encuentra el activo,

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

los elementos que fueron revisados se someten a

actualizacin o si son para Definicin.

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

por el lder de proceso o el equipo de gestin de activos, en el formato Definicin de

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

empleados de la SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT

CLASIFICACIN DE ACTIVOS DE INFORMACIN

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

Cada activo de informacin tendr asociado un nico nivel de clasificacin y un nico

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

Niveles de Clasificacin y de Confidencialidad

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

a terceros o a los sistemas y/o procesos de la SECRETARA GENERAL DE LA

GUA PARA EL INVENTARIO Y LA CLASIFICACIN DE

Figura 1. Niveles de Confidencialidad y Clasificacin la ALCALDA MAYOR DE BOGOT D.C.

Los diferentes niveles de clasificacin tienen las siguientes caractersticas y

La informacin pblica de la ALCALDA