Upload
others
View
17
Download
0
Embed Size (px)
Citation preview
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 1 de 17
MANUAL INVENTARIO DE ACTIVOS, CLASIFICACIÓN Y
PUBLICACIÓN DE LA INFORMACIÓN
DEPARTAMENTO ADMINISTRATIVO DE CIENCIA, TECNOLOGÍA E INNOVACIÓN
COLCIENCIAS
2016
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 2 de 17
TABLA DE CONTENIDO
1. OBJETIVO ..................................................................................................................................... 3
2. ALCANCE ..................................................................................................................................... 3
3. DEFINICIONES ............................................................................................................................. 3
4. INTRODUCCIÓN ........................................................................................................................... 6
5. DOCUMENTOS DE REFERENCIA .................................................................................................. 7
6. DESARROLLO DEL CONTENIDO TECNICO ................................................................................... 7
7. ROLES Y RESPONSABILIDADES .................................................................................................. 7
8. MESAS DE TRABAJO. ................................................................................................................... 8
9. LEVANTAMIENTO DE INVENTARIO DE ACTIVOS DE INFORMACIÓN – MATRIZ DE INVENTARIO,
CLASIFICACIÓN Y PUBLICACIÓN DE LA INFORMACIÓN. ...................................................................... 8
10. CALIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LAS LEYES 1712 DE 2014 Y 1581 DE
2012. 16
11. HOMOLOGACIÓN DE LA CLASIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LA LEY
1712/2014 ........................................................................................................................................... 16
12. MANTENIMIENTO DE LOS ACTIVOS DE INFORMACIÓN .......................................................... 17
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M01
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 3 de 17
CONTROL DE CAMBIOS
Versión Fecha Numerales Descripción de la modificación
00 Rige a partir de su liberación en
GINA Todos Se crea el Manual
1. OBJETIVO
Definir las actividades y criterios necesarios, con el fin de elaborar el inventario de activos de información de COLCIENCIAS.
2. ALCANCE
Aplica para todos procesos establecidos en COLCIENCIAS, el cual inicia con las mesas de trabajo para la definición de la matriz y la clasificación de información y finalizando con el inventario de activos de información, su clasificación y actualización.
3. DEFINICIONES
ACTIVOS DE INFORMACIÓN: Se refiere a cualquier información o elemento relacionado
con el tratamiento de la misma (sistemas, soportes, edificios, personas...) que tenga valor
para la organización.
AVISO DE PRIVACIDAD: Comunicación verbal o escrita generada por el Responsable,
dirigida al Titular para el Tratamiento de sus datos personales, mediante la cual se le informa
acerca de la existencia de las políticas de Tratamiento de información que le serán
aplicables, la forma de acceder a las mismas y las finalidades del Tratamiento que se
pretende dar a los datos personales.
IDENTIFICACIÓN DE ACTIVOS DE INFORMACIÓN: Es un código para ordenar y localizar
los activos de información dentro de COLCIENCIAS.
CLASIFICACIÓN DE INFORMACIÓN: Es la clasificación que se debe dar en función de los
requisitos legales, valor, criticidad, y susceptibilidad a divulgación o modificaciones no
autorizadas.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 4 de 17
INTEGRIDAD: La información y sus métodos de procesamiento deben ser completos y
exactos.
DISPONIBILIDAD: La información y los servicios deben estar disponibles en el momento
que sea requerido.
CONFIDENCIALIDAD: La información debe ser accesible sólo a aquellas personas
autorizadas.
CONTROL: Los procedimientos, las prácticas y las estructuras organizativas concebidas
para mantener los riesgos de seguridad de la información por debajo del nivel de riesgo
asumido. Referencia:
DATO PERSONAL: Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos impersonales no se sujetan al régimen de protección de datos de la presente ley. Cuando en la presente ley se haga referencia a un dato, se presume que se trata de uso personal.
DATO PÚBLICO: Es el dato que no sea semiprivado, privado o sensible. Son considerados
datos públicos, entre otros, los datos relativos al estado civil de las personas, a su profesión
u oficio y a su calidad de comerciante o de servidor público. Por su naturaleza, los datos
públicos pueden estar contenidos, entre otros, en registros públicos, documentos públicos,
gacetas y boletines oficiales y sentencias judiciales debidamente ejecutoriadas que no estén
sometidas a reserva.
DATO SEMIPRIVADO: Es el dato que no tiene naturaleza íntima, reservada, ni pública y
cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o
grupo de personas o a la sociedad en general, como el dato financiero y crediticio de
actividad comercial o de servicios.
DATO PRIVADO: Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.
DATO SENSIBLE: Se entiende por datos sensibles aquellos que afectan la intimidad del
Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que
revelen el origen racial o étnico, la orientación política, las convicciones religiosas o
filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que
promueva intereses de cualquier partido político o que garanticen los derechos y garantías
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 5 de 17
de partidos políticos de oposición, así como los datos relativos a la salud, a la vida sexual, y
los datos biométricos.
DOCUMENTO EN CONSTRUCCIÓN: No será considerada información pública aquella
información preliminar o no definitiva. (artículo 6, literal k Ley 1712 de 2014).
INFORMACIÓN CLASIFICADA: Es aquella información que estando en poder o custodia de un sujeto, pertenece al ámbito propio, particular y privado o semiprivado de una persona natural o jurídica por lo que su acceso podrá ser negado o exceptuado de manera motivada y por escrito, siempre que se trate de las circunstancias legítimas y necesarias y los derechos particulares o privados estipulados en el artículo 18 de la Ley 1712 de 2014 y su acceso pudiere causar un daño a los siguientes derechos: a) El derecho de toda persona a la intimidad, bajo las limitaciones propias que impone la condición de servidor público, en concordancia con lo estipulado; b) El derecho de toda persona a la vida, la salud o la seguridad; c) Los secretos comerciales, industriales y profesionales, así como los estipulados en el parágrafo del artículo 77 de la Ley 1474 de 2011. Estas excepciones tienen una duración ilimitada y no deberán aplicarse cuando la persona natural o jurídica ha consentido en la revelación de sus datos personales o privados o bien cuando es claro que la información fue entregada como parte de aquella información que debe estar bajo el régimen de publicidad aplicable. (Artículo 6, literal c y 18 Ley 1712 de 2014).
INFORMACIÓN PÚBLICA RESERVADA: Es aquella información que estando en poder o
custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a la
ciudadanía de manera motivada y por escrito, por daño a intereses públicos y bajo el
cumplimiento de la totalidad de los requisitos consagrados en el artículo 19 de la Ley 1712
de 2014. Se podrá negar el acceso a esta información cuando concurra una de las
siguientes circunstancias y siempre que dicho acceso estuviere expresamente prohibido por
una norma legal o constitucional:
a) La defensa y seguridad nacional;
b) La seguridad pública;
c) Las relaciones internacionales;
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 6 de 17
d) La prevención, investigación y persecución de los delitos y las faltas disciplinarias, mientras que no se haga efectiva la medida de aseguramiento o se formule pliego de cargos, según el caso;
e) El debido proceso y la igualdad de las partes en los procesos judiciales;
f) La administración efectiva de la justicia;
g) Los derechos de la infancia y la adolescencia;
h) La estabilidad macroeconómica y financiera del país;
i) La salud pública.
Se exceptúan también los documentos que contengan las opiniones o puntos de vista que formen parte del proceso deliberativo de los servidores públicos. (Artículo 6, literal d y artículo 19 Ley 1712 de 2014).
TRANSFERENCIA: La transferencia de datos tiene lugar cuando el Responsable y/o
Encargado del Tratamiento de datos personales, ubicado en Colombia, envía la información
o los datos personales a un receptor, que a su vez es Responsable del Tratamiento y se
encuentra dentro o fuera del país.
4. INTRODUCCIÓN
Los activos de información como impresoras, aplicaciones, equipos de cómputo, servidores, empleados, generan y reciben información, por ende son un activo que debe ser clasificado por COLCIENCIAS. Durante el levantamiento de información se realiza una clasificación de acuerdo a la norma ISO 27001:2013, Ley 1712 de 2014 por medio de la cual se crea la Ley y del derecho de acceso a la información pública nacional y se dictan otras disposiciones y la ley 1581 de 2012, Por la cual se dictan disposiciones generales para la protección de datos personales de acuerdo a esta normativa se definen los siguientes tipos de activos:
Recursos de información físicos
Recursos de información digitales
Recurso de software
Activos Físicos
Servicios
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 7 de 17
Recurso humano
De acuerdo con la norma ISO 27001:2013, se definen tres (3) características principales:
Responsabilidad por los activos: Identificar los activos de información de la entidad y
elaborar el inventario de activos, manteniendo la propiedad, uso aceptable y devolución.
Clasificación de la Información: Asegurar que los activos de información reciban un
nivel apropiado de protección, de acuerdo con el nivel de criticidad e importancia,
clasificación etiquetado y manejo de los activos.
Manejo de Medios: Evitar la divulgación, modificación, retiro o destrucción no
autorizada de información almacenada en los medios, de acuerdo a gestión de medios
removibles, disposición de los medios y transferencia de medios físicos.
5. DOCUMENTOS DE REFERENCIA
Documentos asociados (Normas legales y documentos externos controlados)
Consultar en GINA los documentos asociados al procedimiento: Documentos/Consultar/Explorar
documento/documentos asociados.
6. DESARROLLO DEL CONTENIDO TECNICO 7. ROLES Y RESPONSABILIDADES
Dentro de la actividad de levantamiento de información para la Gestión de Activos
de Información de COLCIECIAS, interactúan los roles descritos en la Tabla 01 –
Roles y Responsabilidades.
ROLES RESPONSABLE RESPONSABILIDADES
Responsable de la producción de la información o propietario / Propietario
Es el área, dependencia o grupo que creó la información.
* Tomar decisiones sobre el buen uso de la información
* Garantizar que se cumplan los controles de protección de la información.
* Garantizar que la información se encuentre disponible, integra y que solo personal autorizado acceso a ella.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 8 de 17
* Hacer mantenimiento periódico y evaluar su clasificación y valoración para la COLCIENCIAS.
Responsable de información o custodio
Es el área, dependencia o grupo encargada de la custodia o control de la información para efectos de permitir su acceso.
* Proteger la información de los activos
* Cumplir con los controles de seguridad establecidos para la protección de la información.
* Ejecutar las actividades propias de su cargo, de acuerdo a la custodia de la información.
Usuario Final Es la persona que hace uso de los activos de información.
* Hacer buen uso de los activos de información asignados.
* Garantizar la confidencialidad, integridad y disponibilidad del activo de información.
* Reportar cualquier evento que atente contra la seguridad de la información.
Tabla 01 – Roles y Responsabilidades
8. MESAS DE TRABAJO.
Las mesas de trabajo están conformadas por las áreas de Jurídica, Documental,
Planeación y Tecnologías de la Información.
Las principales actividades que se deben desarrollar son las siguientes:
Definir el formato de Matriz de Inventario de Clasificación publicación de activos de información.
Definir la clasificación de la información para que sea adoptada por COLCIENCIAS.
9. LEVANTAMIENTO DE INVENTARIO DE ACTIVOS DE INFORMACIÓN – MATRIZ DE INVENTARIO,
CLASIFICACIÓN Y PUBLICACIÓN DE LA INFORMACIÓN.
El inventario de activos de información específica y reconoce cuáles son los activos de información más importantes del COLCIENCIAS, para así darles el tratamiento que se requiere y una protección adecuada, para el cumplimiento de la misión y los objetivos institucionales de la Entidad, Los responsables del levantamiento de los activos de información se encuentran en cabeza de los Colaboradores delegados por las áreas de Documental, Jurídica, Planeación y Tecnologías de la Información, quienes se encargan de liderar la ejecución y
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 9 de 17
mantenimiento del Inventario de Activos, clasificación y publicación de información, de acuerdo a lo anterior se define las siguientes actividades:
Identificar los activos de información
En esta actividad, todos los líderes de procesos deben identificar con los responsables de los activos, cuáles y cuantos activos de información tienen bajo su responsabilidad, está identificación se realizará con el acompañamiento del grupo conformado por las áreas de Jurídica, Planeación, Documental y Tecnologías de la Información.
Definir los activos de información
En esta actividad se establece con los Líderes de Proceso y sus Colaboradores el registro de los activos en la Matriz de inventarios de activos, clasificación y publicación de la información, de acuerdo con las variables establecidas en la matriz se logra identificar cuales activos son de mayor criticidad e impacto para el negocio, para calificar el nivel de criticidad, ver Tabla 02 – Valoración de los Activos de Información.
Información mínima de los activos de información – Matriz de inventario de
activos, clasificación y publicación de información.
Todos los activos se deben identificar de manera adecuada en la matriz de inventario de activos, clasificación y publicación, la cual está conformada por los siguientes ítems:
o ID: Es el consecutivo con el cual se puede llevar el conteo de los activos
de información.
o Título de la Categoría de Información: Conjunto de unidades de
información de contenidos homogéneos, emanadas de un mismo
órgano o sujeto producto como consecuencia del ejercicio de sus
funciones específicas.
o Nombre del activo de información: Palabra o frase con la que se da a
conocer el activo de información.
o Descripción del activo de información: Breve descripción de la función
de la función del activo.
o Idioma: Es donde se establece el idioma, lengua o dialecto en que se
encuentra el activo de información.
o Medio de conservación y/o soporte: Es el medio en que se encuentra la
información, que puede ser entre las siguientes:
Físico: Activos de información físicos
Electrónico: Activos de información digitales.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 10 de 17
Magnético: Para el caso de Token, Disco Duro, Etc.
Físico / Electrónico: En caso de encontrarse almacenada en los dos
medios.
o Formato: Es la forma, tamaño o modo en la que se presenta la
información, se permite su visualización o consulta, tales como:
Hoja de cálculo
Documento de texto
PDF (Formato documento portátil)
Presentaciones
Imágenes
Audio
o Forma de consulta o Acceso: Es la forma en la que se encuentra la
información que puede ser:
Información disponible
Información publicada
o Fecha de Generación de la Información: Identificar la fecha de la
creación de la información. Ver. Decreto 103 de 2015 Artículo 40
numeral 5 y 42 inciso sexto literal E.
o Lugar de Consulta: Donde se encuentra publicada o disponible la
información.
o Contenedor: Es el lugar donde se almacena la información, ya sea física
o Digital.
o Proceso que produce la información: Nombre del proceso Frecuencia de
Actualización: Periodicidad con que se actualiza la información.
o Responsable de la producción de la Información o Propietario: Nombre
de la dependencia que creo la información.
o Responsable de la información o Custodio: Corresponde al nombre del
área, dependencia o grupo encargado de la custodia o control de los
activos de información.
o Objetivo legítimo de la excepción: Identificar la excepción dentro de las
previstas en la Ley 1712 de 2014, que permiten calificar la información
como clasificada (Art. 18) o reservada (Art.19).
o Fundamento constitucional o legal: Indicar la norma constitucional o
legal que justifica la clasificación o la reserva del activo de información.
Se deberá señalar expresamente la norma, artículo, inciso o párrafo que
ampara la excepción.
o Fundamento jurídico de la excepción: El artículo 2.1.1.5.2.2. Decreto
Único Reglamentario 1081 de 2015 establece que se debe hacer
"mención de la norma jurídica que sirve como fundamento jurídico para
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 11 de 17
la clasificación o reserva de la información", pues el primero exige
indicar la circunstancia que se invoca entre las contempladas en los
artículos 18 y 19 de la Ley de transparencia y el numeral 9 exige indicar
la norma constitucional o legal que justifica la clasificación o la reserva.
Por lo anterior, se considera pertinente elevar consulta al Ministerio
TICS para efectos de solicitar aclaración sobre el contenido de este
numeral.
o Excepción total o parcial: Indicar si la excepción es total o parcial, esto
es, si la clasificación o reserva de la información se establece sobre
todo el activo de información o sobre parte de éste. En caso de ser
parcial se deberá indicar expresamente la parte o sección que es objeto
de la clasificación o reserva, pues todo lo demás se entenderá que
constituye información pública.
o Fecha de calificación de la información clasificada y reservada: Indicar
la fecha en la que se hace la calificación del activo como reservado o
clasificado.
o Plazo de la clasificación o reserva: Indicar el tiempo que cobija la
clasificación o reserva del activo de información, debe estar
previamente establecido en una norma legal, el plazo no debe ser
mayor a 15 años.
o En la sección de Nivel de protección Seguridad de la Información (ISO
27001:2013) se califican los criterios de seguridad de la información,
con base en la clasificación de la información adoptada por la entidad y
las regulaciones que rigen a la Entidad, de existir algún activo de
información que por su naturaleza sea confidencial y no se encuentre
cobijado por la ley, se debe otorgar el valor correspondiente para su
análisis y así poder determinar cómo se va a proteger por la Entidad,
como se puede observar en la Tabla No. 2 Valoración de los Activos de
Información.
o Determinación de los riesgos por divulgación de la información:
Identificar los riesgos que se pueden materializar con la divulgación de
la información clasificada o reservada. Para ello deberán indicarse
cuáles son los eventuales daños que se puedan generar al permitirse el
acceso a la información.
Estos daños deben cumplir con las siguientes características:
1. Probabilidad: Cuando existan circunstancias que puedan materializar
el riesgo.
2. Especificidad: Que se trate de daños que puedan ser
individualizados y no de afectaciones genéricas.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 12 de 17
Nota. La información contenida en este campo servirá de insumo para
motivar la eventual respuesta negativa que se pueda dar frente a una
solicitud de acceso a la información, que deberá cumplir con las
exigencias del Art. 2.1.1.4.4.1 del Decreto Único Reglamentario 1081
de 2015.
o Fecha de calificación del nivel de protección: Indicar la fecha en la que
se realiza la calificación de los activos de información.
o Categoría: Está de acuerdo a lo siguiente:
Recursos de Información: Bases de datos y archivos,
documentación de sistemas, manuales de usuario, material de
capacitación, procedimientos operativos o de soporte, planes de
continuidad y contingencia, información archivada, etc.
Recursos de Software: Que pueden ser Físicos o digitales como:
software de aplicaciones, sistemas operativos, herramientas de
desarrollo y publicación de contenidos, utilitarios, etc.
Activos Físicos: equipamiento informático (procesadores,
monitores, computadoras portátiles, módems), equipos de
comunicaciones (routers, PBXs, máquinas de fax, contestadores
automáticos, switches, etc.), medios magnéticos (cintas, discos,
dispositivos móviles de almacenamiento de datos – pen drives,
discos externos, etc.-), otros equipos técnicos (relacionados con el
suministro eléctrico, unidades de aire acondicionado, controles
automatizados de acceso, etc.), mobiliario, lugares de
emplazamiento, etc.
Servicios: servicios informáticos y de comunicaciones, utilitarios
generales (calefacción, iluminación, energía eléctrica, etc.).
Clasificación: Es la calificación que le da la entidad, de acuerdo a la
clasificación adoptada.
o Confidencialidad: Calificar el activo de información en términos de
confidencialidad entendiendo que éste, no se debe poner a disposición
ni se debe revelar a individuos, entidades o procesos no autorizados.
Se debe considerar para esta calificación, los requisitos legales como la
Ley 1712 de 2014 y Ley 1581 de 2012. .
o Integridad: Calificar el activo de información en cuanto a la integridad,
mantenimiento de la exactitud y completitud de la información y sus
métodos de proceso..
o Disponibilidad: Calificar el activo de información, en términos de
disponibilidad, de acuerdo a la importancia que tiene en cuanto a este
componente.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 13 de 17
o Nivel de Criticidad: Esta casilla no debe ser diligenciada por el usuario,
corresponde al resultado final de la calificación de los criterios de
confidencialidad, integridad y disponibilidad de la información.
o Observaciones: Mencionar los aspectos más relevantes de los activos
de información.
Propiedad de los activos de información
La propiedad de los activos se identifica en la matriz de inventario de activos, clasificación y publicación de la información, de acuerdo a los campos de:
o Responsable de la Producción de la Información o Propietario
o Responsable de la Información o custodio
Atributos de los activos de información en cuanto a seguridad de la
información
Esta actividad se realiza con el fin de que los activos de información reciban el nivel de protección adecuada, de acuerdo con su clasificación, esta se realiza con base en los atributos de Integridad, Confidencialidad y Disponibilidad de la Información teniendo en cuenta la importancia del activo y su criticidad en los procesos o frente a COLCIENCIAS, estos valores se calculan automáticamente, de acuerdo la Tabla 02 – Valoración de los Activos de Información.
CONFIDENCIALIDAD
Información: Individuo, entidad o proceso no autorizado accede al activo de información.
Hardware: Alguien conoce que existe el elemento o su configuración o accede al activo sin autorización.
Software: Individuo, entidad o proceso no autorizado conoce la existencia o parametrización del activo.
Servicio: Alguien conoce su existencia o configuración o hace uso no autorizado del activo.
Persona: Se hace uso inadecuado de la información privilegiada a la cual se tiene acceso por cargo o función que desempeña.
Criterio Descripción Explicación
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 14 de 17
A Alto El conocimiento o divulgación no autorizada de la información que gestiona este activo impacta negativamente la imagen y el personal de la COLCIENCIAS.
M Medio
El conocimiento o divulgación no autorizada de la información que gestiona este activo puede tener consecuencias moderadas que a corto plazo pueden perjudicar e impactar negativamente la misión y objetivos institucionales de la COLCIENCIAS.
B Bajo
El conocimiento o divulgación no autorizada de la información puede ocasionar un impacto pequeño o inexistente al este activo y puede impactar negativamente la misión y los objetivos institucionales.
INTEGRIDAD
Información: Se pierde la completitud, exactitud o precisión del activo de información.
Ejemplo: Errores de procesamiento de los sistemas.
Hardware:
El activo no efectúa las actividades de procesamiento o su función correctamente o es alterada su configuración indebidamente.
Ejemplo: cuando se daña un elemento o parte del activo o funciona inadecuadamente.
Software:
Se valora la completitud, exactitud o precisión de la parametrización del activo.
Ejemplo: modificación la configuración del software lo que puede llevar a errores en la información a procesar.
Servicio:
Se valora la completitud, exactitud o precisión del servicio.
Ejemplo: Que el servicio se presta en las condiciones óptimas y acordadas.
Persona: La persona produce datos errados o incompletos o de acuerdo con su rol toma decisiones equivocadas, por capacidades o aptitudes inadecuadas para desempeñar el rol o función.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 15 de 17
Criterio Descripción Explicación
A Alto La pérdida de exactitud y estado completo del activo impacta negativamente la prestación del servicio de la COLCIENCIAS.
M Medio La pérdida de exactitud y estado completo del activo impacta negativamente no sólo a la misión, si no los objetivos institucionales de la COLCIENCIAS.
B Bajo La pérdida de exactitud y estado completo del activo puede tener un impacto pequeño o inexistente.
DISPONIBILIDAD
Información: No se puede acceder al activo de información por el personal que está autorizado.
Hardware: No se puede acceder al activo de información por el personal que está autorizado.
Software: No se puede acceder al activo de información por el personal que está autorizado.
Servicio: No se puede acceder al activo de información por el personal que está autorizado.
Persona: La persona no se encuentra disponible para el proceso.
Criterio Descripción Explicación
A Alto La falta o no disponibilidad del activo de información impacta negativamente la prestación del servicio e impacta negativamente a la COLCIENCIAS.
M Medio La falta o no disponibilidad del activo de información impacta negativamente los procesos de la COLCIENCIAS.
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 16 de 17
B Bajo La falta o no disponibilidad del activo de información puede tener un impacto pequeño o inexistente.
Tabla 02 – Valoración de los Activos de Información
Valoración del activo de información: Mediante una fórmula basada en estos atributos se estima un nivel de criticidad
general del activo de información.
10. CALIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LAS LEYES 1712 DE 2014 Y 1581 DE 2012. Para definir las metas de protección de los datos, a continuación se describen los tipos de calificación que la entidad definió:
CALIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LAS LEYES
Ley 1581 de 2012 Protección de Datos Personales
Ley de transparencia 1712 de 2014
Público Clasificada
Privado Reservada
Semiprivado
Sensible
Dato público
Datos personales de niños, niñas o adolescentes
No contiene datos personales
Tabla 3 – Calificación de la información adoptada por la Entidad 11. HOMOLOGACIÓN DE LA CLASIFICACIÓN DE LA INFORMACIÓN DE ACUERDO A LA LEY
1712/2014 Con la homologación, la clasificación permite relacionar los activos de información cuya clasificación se realizaba con la versión ISO 27001:2012 y la Ley 1712/2014.
De acuerdo a lo anterior, se relaciona a continuación cómo se debe aplicar la homologación:
MANUAL DE INVENTARIO DE ACTIVOS,
CLASIFICACIÓN Y PÚBLICACIÓN DE LA
INFORMACIÓN
CODIGO: G104M02
Versión: 00
Fecha: Vigente a partir de su liberación en GINA
Página 17 de 17
HOMOLOGACIÓN PARA LA CLASIFICACIÓN DE LA INFORMACIÓN LEY 1712/2014 Vs. ISO 27001:2013
LEY 1712/2014 ISO 27001:2013
Pública Pública
Uso Interno Uso Interno
Pública Clasificada: Información de intereses particulares de una persona Natural o Jurídica.
Reservada Pública Reservada: Información de interés público o de seguridad, defensa nacional o que tenga fundamento constitucional o legal para su reserva.
Pública Clasificada: Información como claves, códigos de seguridad de acceso a celulares o dispositivos móviles, usuario y cuentas bancarias
Confidencial
12. MANTENIMIENTO DE LOS ACTIVOS DE INFORMACIÓN
En el mantenimiento de los activos de información lo debe actualizar el responsable delegado por parte de la
Oficina de Tecnología de la Información y las Comunicaciones, con el apoyo de las áreas de Documental,
Legal y Planeación. Si durante el transcurso del año se identifican o reportan cambios en los activos de
información una vez se genere la última versión, se deben actualizar en la Matriz de inventario, clasificación y
publicación de información por parte del responsable delegado.
La actualización del inventario de activos se debe realizar mínimo una vez al año y reportarlo a la Oficina
Asesora de Planeación para su revisión y publicación interna y externa de ser el caso, por el delegado de la
Oficina de Tecnologías de la Información y las Comunicaciones.
Elaboró Revisó Aprobó
Nombre: YULI ANDREA PARRA AMAYA
Nombre: HERNÁN RÍOS LINARES
Nombre: HERNÁN RÍOS LINARES
Cargo: Contratista Oficina deTecnologías de la Información y las Comunicaciones
Cargo: Jefe de Oficina de Tecnologías de la Información y las Comunicaciones
Cargo: Jefe de Oficina deTecnologías de la Información y las Comunicaciones