MANUAL INVENTARIO DE ACTIVOS, CLASIFICACIÓN Y … · 2017-03-15 · El inventario de activos de...

MANUAL DE INVENTARIO DE ACTIVOS,

CLASIFICACIÓN Y PÚBLICACIÓN DE LA

INFORMACIÓN

CODIGO: G104M02

Versión: 00

Fecha: Vigente a partir de su liberación en GINA

Página 1 de 17

MANUAL INVENTARIO DE ACTIVOS, CLASIFICACIÓN Y

PUBLICACIÓN DE LA INFORMACIÓN

DEPARTAMENTO ADMINISTRATIVO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN

COLCIENCIAS

2016



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 2 de 17

TABLA DE CONTENIDO

1. OBJETIVO ..................................................................................................................................... 3

2. ALCANCE ..................................................................................................................................... 3

3. DEFINICIONES ............................................................................................................................. 3

4. INTRODUCCIÓN ........................................................................................................................... 6

5. DOCUMENTOS DE REFERENCIA .................................................................................................. 7

6. DESARROLLO DEL CONTENIDO TECNICO ................................................................................... 7

7. ROLES Y RESPONSABILIDADES .................................................................................................. 7

8. MESAS DE TRABAJO. ................................................................................................................... 8

9. LEVANTAMIENTO DE INVENTARIO DE ACTIVOS DE INFORMACIÓN – MATRIZ DE INVENTARIO,

CLASIFICACIÓN Y PUBLICACIÓN DE LA INFORMACIÓN. ...................................................................... 8

10. CALIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LAS LEYES 1712 DE 2014 Y 1581 DE

2012. 16

11. HOMOLOGACIÓN DE LA CLASIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LA LEY

1712/2014 ........................................................................................................................................... 16

12. MANTENIMIENTO DE LOS ACTIVOS DE INFORMACIÓN .......................................................... 17



INFORMACIÓN

CODIGO: G104M01

Versión: 00


Página 3 de 17

CONTROL DE CAMBIOS

Versión Fecha Numerales Descripción de la modificación

00 Rige a partir de su liberación en

GINA Todos Se crea el Manual

1. OBJETIVO

Definir las actividades y criterios necesarios, con el fin de elaborar el inventario de activos de información de COLCIENCIAS.

2. ALCANCE

Aplica para todos procesos establecidos en COLCIENCIAS, el cual inicia con las mesas de trabajo para la definición de la matriz y la clasificación de información y finalizando con el inventario de activos de información, su clasificación y actualización.

3. DEFINICIONES

ACTIVOS DE INFORMACIÓN: Se refiere a cualquier información o elemento relacionado

con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor

para la organización.

AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el Responsable,

dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa

acerca de la existencia de las políticas de Tratamiento de información que le serán

aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se

pretende dar a los datos personales.

IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN: Es un código para ordenar y localizar

los activos de información dentro de COLCIENCIAS.

CLASIFICACIÓN DE INFORMACIÓN: Es la clasificación que se debe dar en función de los

requisitos legales, valor, criticidad, y susceptibilidad a divulgación o modificaciones no

autorizadas.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 4 de 17

INTEGRIDAD: La información y sus métodos de procesamiento deben ser completos y

exactos.

DISPONIBILIDAD: La información y los servicios deben estar disponibles en el momento

que sea requerido.

CONFIDENCIALIDAD: La información debe ser accesible sólo a aquellas personas

autorizadas.

CONTROL: Los procedimientos, las prácticas y las estructuras organizativas concebidas

para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo

asumido. Referencia:

DATO PERSONAL: Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal.

DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados

datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión

u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos

públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,

gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén

sometidas a reserva.

DATO SEMIPRIVADO: Es el dato que no tiene naturaleza íntima, reservada, ni pública y

cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o

grupo de personas o a la sociedad en general, como el dato financiero y crediticio de

actividad comercial o de servicios.

DATO PRIVADO: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

DATO SENSIBLE: Se entiende por datos sensibles aquellos que afectan la intimidad del

Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que

revelen el origen racial o étnico, la orientación política, las convicciones religiosas o

filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que

promueva intereses de cualquier partido político o que garanticen los derechos y garantías



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 5 de 17

de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y

los datos biométricos.

DOCUMENTO EN CONSTRUCCIÓN: No será considerada información pública aquella

información preliminar o no definitiva. (artículo 6, literal k Ley 1712 de 2014).

INFORMACIÓN CLASIFICADA: Es aquella información que estando en poder o custodia de un sujeto, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado de manera motivada y por escrito, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados estipulados en el artículo 18 de la Ley 1712 de 2014 y su acceso pudiere causar un daño a los siguientes derechos: a) El derecho de toda persona a la intimidad, bajo las limitaciones propias que impone la condición de servidor público, en concordancia con lo estipulado; b) El derecho de toda persona a la vida, la salud o la seguridad; c) Los secretos comerciales, industriales y profesionales, así como los estipulados en el parágrafo del artículo 77 de la Ley 1474 de 2011. Estas excepciones tienen una duración ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación de sus datos personales o privados o bien cuando es claro que la información fue entregada como parte de aquella información que debe estar bajo el régimen de publicidad aplicable. (Artículo 6, literal c y 18 Ley 1712 de 2014).

INFORMACIÓN PÚBLICA RESERVADA: Es aquella información que estando en poder o

custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la

ciudadanía de manera motivada y por escrito, por daño a intereses públicos y bajo el

cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712

de 2014. Se podrá negar el acceso a esta información cuando concurra una de las

siguientes circunstancias y siempre que dicho acceso estuviere expresamente prohibido por

una norma legal o constitucional:

a) La defensa y seguridad nacional;

b) La seguridad pública;

c) Las relaciones internacionales;



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 6 de 17

d) La prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso;

e) El debido proceso y la igualdad de las partes en los procesos judiciales;

f) La administración efectiva de la justicia;

g) Los derechos de la infancia y la adolescencia;

h) La estabilidad macroeconómica y financiera del país;

i) La salud pública.

Se exceptúan también los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos. (Artículo 6, literal d y artículo 19 Ley 1712 de 2014).

TRANSFERENCIA: La transferencia de datos tiene lugar cuando el Responsable y/o

Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información

o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se

encuentra dentro o fuera del país.

4. INTRODUCCIÓN

Los activos de información como impresoras, aplicaciones, equipos de cómputo, servidores, empleados, generan y reciben información, por ende son un activo que debe ser clasificado por COLCIENCIAS. Durante el levantamiento de información se realiza una clasificación de acuerdo a la norma ISO 27001:2013, Ley 1712 de 2014 por medio de la cual se crea la Ley y del derecho de acceso a la información pública nacional y se dictan otras disposiciones y la ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales de acuerdo a esta normativa se definen los siguientes tipos de activos:

Recursos de información físicos

Recursos de información digitales

Recurso de software

Activos Físicos

Servicios



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 7 de 17

Recurso humano

De acuerdo con la norma ISO 27001:2013, se definen tres (3) características principales:

Responsabilidad por los activos: Identificar los activos de información de la entidad y

elaborar el inventario de activos, manteniendo la propiedad, uso aceptable y devolución.

Clasificación de la Información: Asegurar que los activos de información reciban un

nivel apropiado de protección, de acuerdo con el nivel de criticidad e importancia,

clasificación etiquetado y manejo de los activos.

Manejo de Medios: Evitar la divulgación, modificación, retiro o destrucción no

autorizada de información almacenada en los medios, de acuerdo a gestión de medios

removibles, disposición de los medios y transferencia de medios físicos.

5. DOCUMENTOS DE REFERENCIA

Documentos asociados (Normas legales y documentos externos controlados)

Consultar en GINA los documentos asociados al procedimiento: Documentos/Consultar/Explorar

documento/documentos asociados.

6. DESARROLLO DEL CONTENIDO TECNICO 7. ROLES Y RESPONSABILIDADES

Dentro de la actividad de levantamiento de información para la Gestión de Activos

de Información de COLCIECIAS, interactúan los roles descritos en la Tabla 01 –

Roles y Responsabilidades.

ROLES RESPONSABLE RESPONSABILIDADES

Responsable de la producción de la información o propietario / Propietario

Es el área, dependencia o grupo que creó la información.

* Tomar decisiones sobre el buen uso de la información

* Garantizar que se cumplan los controles de protección de la información.

* Garantizar que la información se encuentre disponible, integra y que solo personal autorizado acceso a ella.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 8 de 17

* Hacer mantenimiento periódico y evaluar su clasificación y valoración para la COLCIENCIAS.

Responsable de información o custodio

Es el área, dependencia o grupo encargada de la custodia o control de la información para efectos de permitir su acceso.

* Proteger la información de los activos

* Cumplir con los controles de seguridad establecidos para la protección de la información.

* Ejecutar las actividades propias de su cargo, de acuerdo a la custodia de la información.

Usuario Final Es la persona que hace uso de los activos de información.

* Hacer buen uso de los activos de información asignados.

* Garantizar la confidencialidad, integridad y disponibilidad del activo de información.

* Reportar cualquier evento que atente contra la seguridad de la información.

Tabla 01 – Roles y Responsabilidades

8. MESAS DE TRABAJO.

Las mesas de trabajo están conformadas por las áreas de Jurídica, Documental,

Planeación y Tecnologías de la Información.

Las principales actividades que se deben desarrollar son las siguientes:

Definir el formato de Matriz de Inventario de Clasificación publicación de activos de información.

Definir la clasificación de la información para que sea adoptada por COLCIENCIAS.

9. LEVANTAMIENTO DE INVENTARIO DE ACTIVOS DE INFORMACIÓN – MATRIZ DE INVENTARIO,

CLASIFICACIÓN Y PUBLICACIÓN DE LA INFORMACIÓN.

El inventario de activos de información específica y reconoce cuáles son los activos de información más importantes del COLCIENCIAS, para así darles el tratamiento que se requiere y una protección adecuada, para el cumplimiento de la misión y los objetivos institucionales de la Entidad, Los responsables del levantamiento de los activos de información se encuentran en cabeza de los Colaboradores delegados por las áreas de Documental, Jurídica, Planeación y Tecnologías de la Información, quienes se encargan de liderar la ejecución y



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 9 de 17

mantenimiento del Inventario de Activos, clasificación y publicación de información, de acuerdo a lo anterior se define las siguientes actividades:

Identificar los activos de información

En esta actividad, todos los líderes de procesos deben identificar con los responsables de los activos, cuáles y cuantos activos de información tienen bajo su responsabilidad, está identificación se realizará con el acompañamiento del grupo conformado por las áreas de Jurídica, Planeación, Documental y Tecnologías de la Información.

Definir los activos de información

En esta actividad se establece con los Líderes de Proceso y sus Colaboradores el registro de los activos en la Matriz de inventarios de activos, clasificación y publicación de la información, de acuerdo con las variables establecidas en la matriz se logra identificar cuales activos son de mayor criticidad e impacto para el negocio, para calificar el nivel de criticidad, ver Tabla 02 – Valoración de los Activos de Información.

Información mínima de los activos de información – Matriz de inventario de

activos, clasificación y publicación de información.

Todos los activos se deben identificar de manera adecuada en la matriz de inventario de activos, clasificación y publicación, la cual está conformada por los siguientes ítems:

o ID: Es el consecutivo con el cual se puede llevar el conteo de los activos

de información.

o Título de la Categoría de Información: Conjunto de unidades de

información de contenidos homogéneos, emanadas de un mismo

órgano o sujeto producto como consecuencia del ejercicio de sus

funciones específicas.

o Nombre del activo de información: Palabra o frase con la que se da a

conocer el activo de información.

o Descripción del activo de información: Breve descripción de la función

de la función del activo.

o Idioma: Es donde se establece el idioma, lengua o dialecto en que se

encuentra el activo de información.

o Medio de conservación y/o soporte: Es el medio en que se encuentra la

información, que puede ser entre las siguientes:

Físico: Activos de información físicos

Electrónico: Activos de información digitales.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 10 de 17

Magnético: Para el caso de Token, Disco Duro, Etc.

Físico / Electrónico: En caso de encontrarse almacenada en los dos

medios.

o Formato: Es la forma, tamaño o modo en la que se presenta la

información, se permite su visualización o consulta, tales como:

Hoja de cálculo

Documento de texto

PDF (Formato documento portátil)

Presentaciones

Imágenes

Audio

o Forma de consulta o Acceso: Es la forma en la que se encuentra la

información que puede ser:

Información disponible

Información publicada

o Fecha de Generación de la Información: Identificar la fecha de la

creación de la información. Ver. Decreto 103 de 2015 Artículo 40

numeral 5 y 42 inciso sexto literal E.

o Lugar de Consulta: Donde se encuentra publicada o disponible la

información.

o Contenedor: Es el lugar donde se almacena la información, ya sea física

o Digital.

o Proceso que produce la información: Nombre del proceso Frecuencia de

Actualización: Periodicidad con que se actualiza la información.

o Responsable de la producción de la Información o Propietario: Nombre

de la dependencia que creo la información.

o Responsable de la información o Custodio: Corresponde al nombre del

área, dependencia o grupo encargado de la custodia o control de los

activos de información.

o Objetivo legítimo de la excepción: Identificar la excepción dentro de las

previstas en la Ley 1712 de 2014, que permiten calificar la información

como clasificada (Art. 18) o reservada (Art.19).

o Fundamento constitucional o legal: Indicar la norma constitucional o

legal que justifica la clasificación o la reserva del activo de información.

Se deberá señalar expresamente la norma, artículo, inciso o párrafo que

ampara la excepción.

o Fundamento jurídico de la excepción: El artículo 2.1.1.5.2.2. Decreto

Único Reglamentario 1081 de 2015 establece que se debe hacer

"mención de la norma jurídica que sirve como fundamento jurídico para



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 11 de 17

la clasificación o reserva de la información", pues el primero exige

indicar la circunstancia que se invoca entre las contempladas en los

artículos 18 y 19 de la Ley de transparencia y el numeral 9 exige indicar

la norma constitucional o legal que justifica la clasificación o la reserva.

Por lo anterior, se considera pertinente elevar consulta al Ministerio

TICS para efectos de solicitar aclaración sobre el contenido de este

numeral.

o Excepción total o parcial: Indicar si la excepción es total o parcial, esto

es, si la clasificación o reserva de la información se establece sobre

todo el activo de información o sobre parte de éste. En caso de ser

parcial se deberá indicar expresamente la parte o sección que es objeto

de la clasificación o reserva, pues todo lo demás se entenderá que

constituye información pública.

o Fecha de calificación de la información clasificada y reservada: Indicar

la fecha en la que se hace la calificación del activo como reservado o

clasificado.

o Plazo de la clasificación o reserva: Indicar el tiempo que cobija la

clasificación o reserva del activo de información, debe estar

previamente establecido en una norma legal, el plazo no debe ser

mayor a 15 años.

o En la sección de Nivel de protección Seguridad de la Información (ISO

27001:2013) se califican los criterios de seguridad de la información,

con base en la clasificación de la información adoptada por la entidad y

las regulaciones que rigen a la Entidad, de existir algún activo de

información que por su naturaleza sea confidencial y no se encuentre

cobijado por la ley, se debe otorgar el valor correspondiente para su

análisis y así poder determinar cómo se va a proteger por la Entidad,

como se puede observar en la Tabla No. 2 Valoración de los Activos de

Información.

o Determinación de los riesgos por divulgación de la información:

Identificar los riesgos que se pueden materializar con la divulgación de

la información clasificada o reservada. Para ello deberán indicarse

cuáles son los eventuales daños que se puedan generar al permitirse el

acceso a la información.

Estos daños deben cumplir con las siguientes características:

1. Probabilidad: Cuando existan circunstancias que puedan materializar

el riesgo.

2. Especificidad: Que se trate de daños que puedan ser

individualizados y no de afectaciones genéricas.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 12 de 17

Nota. La información contenida en este campo servirá de insumo para

motivar la eventual respuesta negativa que se pueda dar frente a una

solicitud de acceso a la información, que deberá cumplir con las

exigencias del Art. 2.1.1.4.4.1 del Decreto Único Reglamentario 1081

de 2015.

o Fecha de calificación del nivel de protección: Indicar la fecha en la que

se realiza la calificación de los activos de información.

o Categoría: Está de acuerdo a lo siguiente:

Recursos de Información: Bases de datos y archivos,

documentación de sistemas, manuales de usuario, material de

capacitación, procedimientos operativos o de soporte, planes de

continuidad y contingencia, información archivada, etc.

Recursos de Software: Que pueden ser Físicos o digitales como:

software de aplicaciones, sistemas operativos, herramientas de

desarrollo y publicación de contenidos, utilitarios, etc.

Activos Físicos: equipamiento informático (procesadores,

monitores, computadoras portátiles, módems), equipos de

comunicaciones (routers, PBXs, máquinas de fax, contestadores

automáticos, switches, etc.), medios magnéticos (cintas, discos,

dispositivos móviles de almacenamiento de datos – pen drives,

discos externos, etc.-), otros equipos técnicos (relacionados con el

suministro eléctrico, unidades de aire acondicionado, controles

automatizados de acceso, etc.), mobiliario, lugares de

emplazamiento, etc.

Servicios: servicios informáticos y de comunicaciones, utilitarios

generales (calefacción, iluminación, energía eléctrica, etc.).

Clasificación: Es la calificación que le da la entidad, de acuerdo a la

clasificación adoptada.

o Confidencialidad: Calificar el activo de información en términos de

confidencialidad entendiendo que éste, no se debe poner a disposición

ni se debe revelar a individuos, entidades o procesos no autorizados.

Se debe considerar para esta calificación, los requisitos legales como la

Ley 1712 de 2014 y Ley 1581 de 2012. .

o Integridad: Calificar el activo de información en cuanto a la integridad,

mantenimiento de la exactitud y completitud de la información y sus

métodos de proceso..

o Disponibilidad: Calificar el activo de información, en términos de

disponibilidad, de acuerdo a la importancia que tiene en cuanto a este

componente.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 13 de 17

o Nivel de Criticidad: Esta casilla no debe ser diligenciada por el usuario,

corresponde al resultado final de la calificación de los criterios de

confidencialidad, integridad y disponibilidad de la información.

o Observaciones: Mencionar los aspectos más relevantes de los activos

de información.

Propiedad de los activos de información

La propiedad de los activos se identifica en la matriz de inventario de activos, clasificación y publicación de la información, de acuerdo a los campos de:

o Responsable de la Producción de la Información o Propietario

o Responsable de la Información o custodio

Atributos de los activos de información en cuanto a seguridad de la

información

Esta actividad se realiza con el fin de que los activos de información reciban el nivel de protección adecuada, de acuerdo con su clasificación, esta se realiza con base en los atributos de Integridad, Confidencialidad y Disponibilidad de la Información teniendo en cuenta la importancia del activo y su criticidad en los procesos o frente a COLCIENCIAS, estos valores se calculan automáticamente, de acuerdo la Tabla 02 – Valoración de los Activos de Información.

CONFIDENCIALIDAD

Información: Individuo, entidad o proceso no autorizado accede al activo de información.

Hardware: Alguien conoce que existe el elemento o su configuración o accede al activo sin autorización.

Software: Individuo, entidad o proceso no autorizado conoce la existencia o parametrización del activo.

Servicio: Alguien conoce su existencia o configuración o hace uso no autorizado del activo.

Persona: Se hace uso inadecuado de la información privilegiada a la cual se tiene acceso por cargo o función que desempeña.

Criterio Descripción Explicación



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 14 de 17

A Alto El conocimiento o divulgación no autorizada de la información que gestiona este activo impacta negativamente la imagen y el personal de la COLCIENCIAS.

M Medio

El conocimiento o divulgación no autorizada de la información que gestiona este activo puede tener consecuencias moderadas que a corto plazo pueden perjudicar e impactar negativamente la misión y objetivos institucionales de la COLCIENCIAS.

B Bajo

El conocimiento o divulgación no autorizada de la información puede ocasionar un impacto pequeño o inexistente al este activo y puede impactar negativamente la misión y los objetivos institucionales.

INTEGRIDAD

Información: Se pierde la completitud, exactitud o precisión del activo de información.

Ejemplo: Errores de procesamiento de los sistemas.

Hardware:

El activo no efectúa las actividades de procesamiento o su función correctamente o es alterada su configuración indebidamente.

Ejemplo: cuando se daña un elemento o parte del activo o funciona inadecuadamente.

Software:

Se valora la completitud, exactitud o precisión de la parametrización del activo.

Ejemplo: modificación la configuración del software lo que puede llevar a errores en la información a procesar.

Servicio:

Se valora la completitud, exactitud o precisión del servicio.

Ejemplo: Que el servicio se presta en las condiciones óptimas y acordadas.

Persona: La persona produce datos errados o incompletos o de acuerdo con su rol toma decisiones equivocadas, por capacidades o aptitudes inadecuadas para desempeñar el rol o función.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 15 de 17


A Alto La pérdida de exactitud y estado completo del activo impacta negativamente la prestación del servicio de la COLCIENCIAS.

M Medio La pérdida de exactitud y estado completo del activo impacta negativamente no sólo a la misión, si no los objetivos institucionales de la COLCIENCIAS.

B Bajo La pérdida de exactitud y estado completo del activo puede tener un impacto pequeño o inexistente.

DISPONIBILIDAD

Información: No se puede acceder al activo de información por el personal que está autorizado.

Hardware: No se puede acceder al activo de información por el personal que está autorizado.

Software: No se puede acceder al activo de información por el personal que está autorizado.

Servicio: No se puede acceder al activo de información por el personal que está autorizado.

Persona: La persona no se encuentra disponible para el proceso.


A Alto La falta o no disponibilidad del activo de información impacta negativamente la prestación del servicio e impacta negativamente a la COLCIENCIAS.

M Medio La falta o no disponibilidad del activo de información impacta negativamente los procesos de la COLCIENCIAS.



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 16 de 17

B Bajo La falta o no disponibilidad del activo de información puede tener un impacto pequeño o inexistente.

Tabla 02 – Valoración de los Activos de Información

Valoración del activo de información: Mediante una fórmula basada en estos atributos se estima un nivel de criticidad

general del activo de información.

10. CALIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LAS LEYES 1712 DE 2014 Y 1581 DE 2012. Para definir las metas de protección de los datos, a continuación se describen los tipos de calificación que la entidad definió:

CALIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LAS LEYES

Ley 1581 de 2012 Protección de Datos Personales

Ley de transparencia 1712 de 2014

Público Clasificada

Privado Reservada

Semiprivado

Sensible

Dato público

Datos personales de niños, niñas o adolescentes

No contiene datos personales

Tabla 3 – Calificación de la información adoptada por la Entidad 11. HOMOLOGACIÓN DE LA CLASIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LA LEY

1712/2014 Con la homologación, la clasificación permite relacionar los activos de información cuya clasificación se realizaba con la versión ISO 27001:2012 y la Ley 1712/2014.

De acuerdo a lo anterior, se relaciona a continuación cómo se debe aplicar la homologación:



INFORMACIÓN

CODIGO: G104M02

Versión: 00


Página 17 de 17

HOMOLOGACIÓN PARA LA CLASIFICACIÓN DE LA INFORMACIÓN LEY 1712/2014 Vs. ISO 27001:2013

LEY 1712/2014 ISO 27001:2013

Pública Pública

Uso Interno Uso Interno

Pública Clasificada: Información de intereses particulares de una persona Natural o Jurídica.

Reservada Pública Reservada: Información de interés público o de seguridad, defensa nacional o que tenga fundamento constitucional o legal para su reserva.

Pública Clasificada: Información como claves, códigos de seguridad de acceso a celulares o dispositivos móviles, usuario y cuentas bancarias

Confidencial

12. MANTENIMIENTO DE LOS ACTIVOS DE INFORMACIÓN

En el mantenimiento de los activos de información lo debe actualizar el responsable delegado por parte de la

Oficina de Tecnología de la Información y las Comunicaciones, con el apoyo de las áreas de Documental,

Legal y Planeación. Si durante el transcurso del año se identifican o reportan cambios en los activos de

información una vez se genere la última versión, se deben actualizar en la Matriz de inventario, clasificación y

publicación de información por parte del responsable delegado.

La actualización del inventario de activos se debe realizar mínimo una vez al año y reportarlo a la Oficina

Asesora de Planeación para su revisión y publicación interna y externa de ser el caso, por el delegado de la

Oficina de Tecnologías de la Información y las Comunicaciones.

Elaboró Revisó Aprobó

Nombre: YULI ANDREA PARRA AMAYA

Nombre: HERNÁN RÍOS LINARES

Nombre: HERNÁN RÍOS LINARES

Cargo: Contratista Oficina deTecnologías de la Información y las Comunicaciones

Cargo: Jefe de Oficina de Tecnologías de la Información y las Comunicaciones

Cargo: Jefe de Oficina deTecnologías de la Información y las Comunicaciones

MANUAL INVENTARIO DE ACTIVOS, CLASIFICACIÓN Y … · 2017-03-15 · El inventario de activos de...

Documents

Transcript of MANUAL INVENTARIO DE ACTIVOS, CLASIFICACIÓN Y … · 2017-03-15 · El inventario de activos de...