Grupo Redinfo | Inventario de activos de información
Inventario de activos de información
Inventario de activos de información
16155
page,page-id-16155,page-template-default,ajax_fade,page_not_loaded,,,wpb-js-composer js-comp-ver-4.1.2,vc_responsive
 

Inventario y Clasificación de Activos de Información

OBJETIVO GENERAL DEL SERVICIO

Este servicio tiene por objetivo implementar una política de “Clasificación de Activos de Información” para los procesos de negocio, sus subprocesos y etapas correspondientes como ámbito de operación:

  • Identificación de los activos de información para los procesos críticos de negocio, considerando lo siguiente:

o   Información: bases de datos y archivos de data, contratos y acuerdos, documentación del sistema, información de investigaciones, manuales del usuario, material de capacitación, procedimientos operacionales o de soporte, planes de continuidad del negocio, acuerdos para contingencias, rastros de auditoría e información archivada.

o   Activos de software: software de aplicación, software del sistema, herramientas de desarrollo y utilidades;

o   Activos físicos: equipos de cómputo, equipos de comunicaciones, medios removibles y otros equiposs;

o   Servicios: servicios de computación y comunicación, servicios generales; por o   ejemplo, calefacción, iluminación, energía y aire acondicionado; personas, y sus calificaciones, capacidades y experiencia;

o   Intangibles, tales como la reputación y la imagen de la organización.

 

  • Clasificación de los activos de información identificados para los procesos críticos de negocio, considerando lo siguiente:

o   Las clasificaciones y los controles de protección asociados para la información tomando en cuenta las necesidades de intercambiar o restringir información y los impactos en la institución asociados con dichas necesidades. o   Definición de protocolos para la clasificación inicial y la re-clasificación a lo largo del tiempo; en concordancia con la política de control de acceso. o   Definición del número de categorías de clasificación y los beneficios a obtenerse con su uso. o   Identificación de la legislación aplicable.

 

  • Definición de responsabilidad del propietario del activo, creando procedimientos que consideren lo siguiente:

o   Asegurar que la información y los activos asociados con los medios de procesamiento de la información sean clasificados apropiadamente; o   Definir y revisar periódicamente las restricciones y clasificaciones de acceso, tomando en cuenta las políticas de control de acceso aplicables.

 

  • Etiquetado y manejo de los activos identificados, considerando procedimientos que abarquen lo siguiente:

o   Alcance en los activos de información en formatos físicos y electrónicos. o   La salida de los sistemas que contienen información que es clasificada como sensible o crítica debe llevar la etiqueta de clasificación apropiada. o   Para cada nivel de clasificación, se definirán los procedimientos de manejo seguros; incluyendo el procesamiento, almacenaje, transmisión, de-clasificación y destrucción. Esto también incluirá los procedimientos de la cadena de custodia y el registro de cualquier incidente de seguridad relevante. o   Los acuerdos con otras organizaciones que incluyen intercambio de información incluirán procedimientos para identificar la clasificación de esa información e interpretar las etiquetas de clasificación de otras organizaciones.