You are on page 1of 26

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMAC

URIDAD DE LA INFORMACIÓN
TIPO DE ACTIVO DE INFORMACIÓN

Información

Software
Persona

Servicio

Hardware
Otros

TIPO DE DATOS PERSONALES


Dato Público

Dato Semiprivado

Dato Privado

PROPIEDAD

Propietario

Custodio
TIPO DE ACTIVO DE INFORMACIÓN
Corresponden a este tipo datos e información almacenada o procesada física o electrónicamente tales como: bases y arch
datos, contratos y acuerdos, documentación del sistema, información sobre investigaciones, manuales de usuario, mat
formación o capacitación, procedimientos operativos o de soporte, planes para la continuidad del negocio, acuerdos de recup
registros de auditoría e información archivada, entre otros.
Software de aplicación, interfases, software del sistema, herramientas de desarrollo y otras utilidades relacionadas.
Aquellas personas que, por su conocimiento, habilidades, experiencia y criticidad para el proceso, son consideradas act
información.
Servicios de computación y comunicaciones, tales como Internet, correo electrónico, páginas de consulta, directorios compa
Intranet, entre otros.
Son activos físicos como por ejemplo: equipos de cómputo y de comunicaciones, medios removibles, entre otros que por su c
son considerados activos de información, no sólo activos fijos.
activos de información que no corresponden a ninguno de los tipos descritos anteriormente.

TIPO DE DATOS PERSONALES


Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que n
sometidos a reserva y los relativos al estado civil de las personas;
Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar
a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de a
comercial o de servicios.

Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular.

PROPIEDAD

Corresponde a una parte designada de la institución, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de def
• Quiénes tienen acceso y qué pueden hacer con la información (modificar, leer, procesar, entre otros).
• Cuáles son los requisitos para que la información se salvaguarde ante accesos no autorizados, modificación, pérdid
confidencialidad o destrucción deliberada.
• Qué se hace con la información una vez ya no sea requerida.

Es una parte designada de la entidad, un cargo, proceso, o grupo de trabajo encargado de administrar los componentes tecn
donde se encuentra la información; además se encarga de hacer efectivos los controles de seguridad administrativos
propietario de la información haya definido, tales como el manejo de archivos, el uso de copias y la eliminación.
Información:
Hardware:
Software:
Servicio:

Persona:

Criterio
A

MB

Información:

Hardware:

Software:

Servicio:

Persona:

Criterio
A

MB

Información:
Hardware:
Software:
Servicio:
Persona:
Criterio
A

MB
Confidencialidad
Individuo, entidad o proceso no autorizado accede al activo de información.
Alguien conoce que existe el elemento o su configuración o accede al activo sin autorización.
Individuo, entidad o proceso no autorizado conoce la existencia o parametrización del activo.
Alguien conoce su existencia o configuración o hace uso no autorizado del activo.

Se hace uso inadecuado de la información privilegiada a la cual se tiene acceso por cargo o función que desempeña.

Descripción
Alto

Medio

Bajo

Muy Bajo

Integridad
Se pierde la completitud, exactitud o precisión del activo de información.
Ejemplo: Errores de procesamiento de los sistemas.
El activo no efectúa las actividades de procesamiento o su función correctamente o es alterada su configuración indebidamente.
Ejemplo: cuando se daña un elemento o parte del activo o funciona inadecuadamente.
Se valora la completitud, exactitud o precisión de la parametrización del activo.
Ejemplo: modificación la configuración del software lo que puede llevar a errores en la información a procesar.
Se valora la completitud, exactitud o precisión del servicio.
Ejemplo: Que el servicio se presta en las condiciones óptimas y acordadas.

La persona produce datos errados o incompletos o de acuerdo con su rol toma decisiones equivocadas, por capacidades o aptitudes inadecuadas para

Descripción
Alto

Medio

Bajo

Muy Bajo

Disponibilidad
El activo de información no puede ser accedido o utilizado cuando se requiere y por el personal que está autorizado.
El activo de información no puede ser accedido o utilizado cuando se requiere y por el personal que está autorizado.
El activo de información no puede ser accedido o utilizado cuando se requiere y por el personal que está autorizado.
El activo no está disponible o no se puede tener acceso a él cuando se requiere y por el personal que está autorizado.
La persona no se encuentra disponible para el proceso.
Descripción
Alto

Medio

Bajo

Muy Bajo
cialidad
ación.
activo sin autorización.
ametrización del activo.
o del activo.

ne acceso por cargo o función que desempeña.

Explicación
El conocimiento o divulgación no autorizada de la información que gestiona este activo
impacta negativamente a losusuarios de la Entidad

El conocimiento o divulgación no autorizada de la información que gestiona este activo


impacta negativamente no sólo el proceso evaluado sino otros procesos de la Entidad

El conocimiento o divulgación no autorizada de la información que gestiona este activo


impacta negativamente al proceso evaluado.
El conocimiento o divulgación no autorizada de la información que gestiona este activo
no impacta negativamente a la entidad

dad

nte o es alterada su configuración indebidamente.


amente.
.
es en la información a procesar.

a decisiones equivocadas, por capacidades o aptitudes inadecuadas para desempeñar el rol o función.

Explicación
pérdida de exactitud y estado completo del activo impacta negativamente la prestación del servicio
a los usuarios o a la entidad
La pérdida de exactitud y estado completo del activo impacta negativamente no sólo el proceso
evaluado sino otros procesos de la entidad

La pérdida de exactitud y estado completo del activo impacta negativamente al proceso evaluado.

La pérdida de exactitud y estado completo del activo no impacta no negativamente a la entidad

bilidad
requiere y por el personal que está autorizado.
requiere y por el personal que está autorizado.
requiere y por el personal que está autorizado.
e requiere y por el personal que está autorizado.

Explicación
La falta o no disponibilidad del activo de información impacta negativamente la prestación
del servicio a los usuarios o impacta negativamente a la entidad
La falta o no disponibilidad del activo de información impacta negativamente no sólo el
proceso evaluado sino otros procesos de la entidad
La falta o no disponibilidad del activo de información impacta negativamente al proceso
evaluado.
La falta o no disponibilidad del activo de información no impacta negativamente a la
entidad
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

CONSULTORIA PRIMERA FASE IM


DIAGNOSTICO AC

INFORMACIÓN BÁSICA

ID Activo Nombre del Procedimiento Nombre del Activo Descripción / Observaciones

7 MANUAL DE FUNCIONESS

8 CERTIFICACIONES LABORALES

9 BONOS PENSIONALES Coordinar y velar por el desarrollo integral del talento humano de los servidores
Talento Humano
públicos del nivel central de la gobernación

10 DERECHOS DE PETICION

11 SYSMAN

12 MODULO DESPRENDIBLES DE PAGO DE NOMINA

CORREPONDENCIA ENVIADA Y RECIBIDA PROPIA DE LA


13
OFICINA (Oficios Internos, Memorandos entre otros)

14 PLAN DE COMPRAS

15 SECOP
Realizar la adquisición, suministro y control de los elementos necesarios para el
ADMINISTRATIVA
funcionamiento administrativo de las dependencias de la Gobernación.
16 AUTORIZACIONES

CORREPONDENCIA ENVIADA Y RECIBIDA PROPIA DE LA


17
OFICINA (Oficios Internos, Memorandos entre otros)
TODA LA CODUMENTACION GENERADA POR LAS
18
DEPENDENCIAS DE LA GOBERNACION
DOCUMENTACION DE LAS ENTIDADES QUE SE HAN
19
LIQUIDADO: IDATT, LICORERA

20 HISTORIAS LABORALES Dirigir la actividad del Archivo Departamental, con eficiente aplicación de los
ARCHIVO sistemas, normas y procedimientos archivísticos para la administración de los
documentos.
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOSDirigir la actividad del Archivo Departamental, con eficiente aplicación de los
ARCHIVO sistemas, normas y procedimientos archivísticos para la administración de los
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION documentos.
FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
21 BASE DE DATOS

CORREPONDENCIA ENVIADA Y RECIBIDA PROPIA DE LA


22
OFICINA (Oficios Internos, Memorandos entre otros)

23 SERVIDORES

Administrar la Red de Datos, Sistemas de Información, elementos y servicios de


24 CENTROS DE CABLEADO
tecnología implementados en la entidad, mediante la utilización de herramientas y
estrategias adecuadas, para garantizar que los recursos informáticos sean
OFICINA TICS SWITCHES productivos y capaces de satisfacer las necesidades
de procesamiento, almacenamiento y transmisión de información, de man
era eficiente y segura, con una planeación adecuada.
CORREPONDENCIA ENVIADA Y RECIBIDA PROPIA DE LA
OFICINA (Oficios Internos, Memorandos entre otros)
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

ORIA PRIMERA FASE IMPLEMENTACION SISTEMA DE GESTION DE SEGURIDAD DE LA INFORMACIÓN


DIAGNOSTICO ACTIVOS DE LA INFORMACION EN LA GOBERNACION DE NARIÑO

DATOS PERSONALES

Personal
Área Tipo de Activo Tipo de Dato
(S/N)

Información NO Público

Información SI Público

Subsecretaria de Talento Humano Información SI Semiprivado

Información SI Semiprivado

Software SI Semiprivado

Software SI Semiprivado

Información SI Semiprivado

Software NO Público

Software NO Público
subsecretaria Administrativa
Información NO Semiprivado

Información NO Semiprivado

Información SI Público

Información SI Privado

Información SI Semiprivado
Archivo del Departamento
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS
Archivo del Departamento
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
Información SI Semiprivado

Información SI Semiprivado

NO Privado

HARDWARE NO Privado

OFICINA TICS NO Privado

Información SI Semiprivado
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

GURIDAD DE LA INFORMACIÓN
CION DE NARIÑO

UBICACIÓN
Propietario Custodio

Físico Electrónico
Proceso Proceso

Archivo Propio en Oficina Secretaria

Subsecretario de
Talento Humano

SERVIDOR

INTRANET Oficina de Tics

Archivo Propio en Oficina Correo electrónico Institucional

SERVIDOR

INTERNET
Subsecretaria
Secretaria y Oficina de Tics
Administrativa
Archivo Propio en Oficina

Correo electrónico Institucional

Archivo Propio en Oficina

Auxiliar Administrativo
Jefe Oficina Archivo
MACROPROCESO: ADMINISTRATIVOS Auxiliar Administrativo
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS
Jefe Oficina Archivo
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
Equipo de Computo

Archivo Propio en Oficina Correo electrónico Institucional Auxiliar Administrativo y Oficina de Tics

DATACENTER

Jefe Oficina TICS Jefe Oficina TICS

Archivo Propio en Oficina


MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

Confidencialidad
A3 - El acceso a este
A1 - Activo que puede ser A2 - Activo es muy crítico
activo esta reservado a
Procesos que utilizan el activo alterado o comprometido para para el servicio hacia
algunos Funcionario o
fraudes y corrupción terceros. Valor
debería ser reservado

NO NO BAJO

SI SI NO BAJO

Dependencias de la institución - Pensionados del SI SI NO BAJO


Departamento, licorera y del Magisterio

NO SI NO BAJO

NO SI NO BAJO

NO SI NO BAJO

NO NO NO BAJO

NO SI NO MUY BAJO

NO NO NO MUY BAJO
Dependencias de la institución
SI SI NO BAJO

NO NO NO BAJO

NO NO SI MUY BAJO

NO NO SI MUY BAJO

NO SI SI MEDIO
Dependencias de la institución
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS
Dependencias de la institución
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
NO SI SI MUY BAJO

NO NO NO BAJO

SI SI SI ALTA

SI SI SI ALTA

Dependencias de la institución SI SI SI ALTA

NO NO NO BAJO
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

Valor
Confidencialidad Integridad Disponibilidad

Justificación Valor Justificación Valor

ALTA ALTA

ALTA ALTA

Solo le compete al directamente interesado y a los organio de control


ALTA Debe mantenerse tal cual se emite el documento ALTA
original, igualmente si es una copia

ALTA ALTA

ALTA ALTA

ALTA ALTA

Sin reservas para el personal de la oficina y la institución ALTA ALTA

ALTA ALTA
Dominio publico
ALTA ALTA
Debe mantenerse tal cual se emite el documento
original, igualmente si es una copia
Sin reservas para el personal de la oficina y la institución ALTA ALTA

Sin reservas para el personal de la oficina y la institución ALTA ALTA

ALTA ALTA

Dominio publico ALTA ALTA

Solo le compete al directamente interesado y a los organio de control ALTA Debe mantenerse tal cual se emite el documento ALTA
original, igualmente si es una copia
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN
DebeDEmantenerse
RECURSOS tal INFORMÁTICOS
cual se emite el documento
original, igualmente si es una copia
PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
Dominio publico ALTA ALTA

Sin reservas para el personal de la oficina y la institución ALTA ALTA

ALTA ALTA

Deben mantenerse en correcto estado de


Acceso restringido por claves de acceco ALTA ALTA
funcionamiento

ALTA ALTA

Debe mantenerse tal cual se emite el documento


Sin reservas para el personal de la oficina y la institución ALTA ALTA
original, igualmente si es una copia
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION

VALOR TOTAL CLASIFICACIÓN


Disponibilidad Confidencialidad Integridad Disponibilidad
Valor Total del
Activo
Justificación Valor Valor Valor

ALTA USO INTERNO I1 D1

ALTA USO INTERNO I1 D1

Tramite normal de solicitud mediante oficio la disponibilidad es


inmediata y bajo los terminos de ley para entrega de documentación ALTA USO INTERNO I1 D1
solicitada
ALTA USO INTERNO I1 D1

ALTA USO INTERNO I1 D1

ALTA USO INTERNO I1 D1

ALTA USO INTERNO I1 D1

ALTA PÚBLICO I1 D1

Tramite normal de solicitud mediante oficio la disponibilidad es ALTA PÚBLICO I1 D1


inmediata y bajo los terminos de ley para entrega de documentación
solicitada ALTA USO INTERNO I1 D1

ALTA USO INTERNO I1 D1

ALTA PÚBLICO I1 D1

ALTA PÚBLICO I1 D1

Tramite normal de solicitud mediante oficio la disponibilidad es ALTA USO INTERNO I1 D1


inmediata y bajo los terminos de ley para entrega de documentación
solicitada
MACROPROCESO: ADMINISTRATIVOS
Tramite normal de solicitud mediante oficio la disponibilidad es PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS
inmediata y bajo los terminos de ley para entrega de documentación
solicitada PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
ALTA PÚBLICO I1 D1

ALTA USO INTERNO I1 D1

ALTA CONFIDENCIAL I1 D1

Para el acceso a personal autorizado sin ningun problema ALTA CONFIDENCIAL I1 D1

ALTA CONFIDENCIAL I1 D1

Tramite normal de solicitud mediante oficio la disponibilidad es


inmediata y bajo los terminos de ley para entrega de documentación ALTA USO INTERNO I1 D1
solicitada
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION Tipo Activo Valor Información Personal
Información Alto SI

Persona Medio NO

Servicio Bajo
Hardware No Clasificado

Software
Otros
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


Tipo Clasificación FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION
Valoración
Público ALTA

Semiprivado MEDIO

Privado BAJO
N/A MUY BAJO
MACROPROCESO: ADMINISTRATIVOS
PROCESO: GESTIÓN DE RECURSOS INFORMÁTICOS

PROCEDIMIENTO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION


FORMATO INVENTARIO Y CLASIFICACION DE ACTIVOS DE INFORMACION