| Objetivo | Proteger y garantizar la confidencialidad, integridad y disponibilidad de la información durante todo el ciclo de vida de los activos. |
| Controles | Nivel 1 - GA.2-1: están identificados los activos que contienen información crítica para la organización, en base a criterio institucionalmente definido que establezca qué se considera información crítica o sensible.
- GA.2-2: cada activo registrado en el inventario debe contar con una etiqueta o atributo que refleje su clasificación según los criterios previamente definidos.
Nivel 2 - GA.2-3: los activos que almacenan o procesan información deben estar clasificados de acuerdo con los criterios establecidos en el procedimiento de clasificación.
- GA.2-4: la herramienta de inventario de activos debe permitir registrar, consultar y mantener la clasificación de la información asociada a cada activo.
Nivel 3 - GA.2-5: se cuenta con una política y/o procedimiento de clasificación de la información, alineado a la normativa nacional vigente.
- GA.2-6: se ha definido un procedimiento para el etiquetado de activos clasificados, que contemple tanto los activos digitales como los físicos.
- GA.2-7: la clasificación de la información debe estar integrada en todas las etapas del ciclo de vida del activo: alta, modificación, uso y baja.
- GA.2-8: las restricciones de acceso deben definirse y aplicarse en función de la clasificación de los activos y el perfil de los usuarios autorizados.
Nivel 4 - GA.2-9: se realizan controles internos periódicos para verificar que la clasificación de la información asociada a cada activo sea correcta y vigente.
|
| Guía de implementación | Se debe realizar un análisis y valoración de la información que posee con el fin de definir una clasificación apropiada, dependiendo de su valor, sus requisitos legales, la sensibilidad e importancia; esta identificación podrá contemplar los tipos de datos y metadatos gestionados por la organización.
Asimismo, se deben definir procedimientos para el etiquetado de los activos de acuerdo a la clasificación que se haya realizado.
Se debe definir y revisar periódicamente las restricciones de acceso y la clasificación de los activos. |
| Instituciones de salud | Protección de datos personales – datos sensibles
Según la ley 18.331 artículo 4, numeral E, los datos de salud son considerados datos sensibles. Se debe tomar en cuenta el artículo 19 de la mencionada ley que indica que: “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los usuarios que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquellos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley”. Confidencialidad de los CDA
Las instituciones deben considerar la “Guía CDA Mínimo” para evaluar el nivel de confidencialidad de cada CDA (confidentialityCode) preestableciendo criterios de asignación. Instituciones de salud pública
Las instituciones de salud pública deben clasificar la información de acuerdo a la ley 18.381. Instituciones de salud privadas
En el ámbito privado, se recomienda clasificar la información de salud como confidencial. Asimismo, se debe clasificar el resto de la información de la institución, aunque no constituyan datos de salud, utilizando criterios de valoración y análisis de riesgos que la institución defina. |
| Instituciones Emisoras de Dinero Electrónico (IEDE) | Se mantienen los diagramas de flujo de información y del ciclo de pago especificando las condiciones de seguridad implementadas en cada línea de comunicación y los ciclos de pago. |
| Guía de evidencia para auditoría | - Procedimiento de administración de activos.
- Inventario de los activos de la organización.
- Dueño de cada uno de los activos definidos en el inventario de activos.
- Clasificación de cada uno de los activos definidos en el inventario de activos.
- Política y procedimiento de clasificación de información.
- Procedimiento para el etiquetado de activos.
- Evidencia de uso de herramientas que permitan registrar y gestionar la clasificación (capturas, informes, logs).
- Evidencia de controles de acceso basados en clasificación.
- Registros de auditorías internas o revisiones periódicas sobre clasificación y acceso.
|
| Normativa asociada | Ley N° 18.381: Derecho de acceso a la información pública.
Ley N° 18.331: Protección de datos personales, acción de habeas data. |
