Objetivo | Garantizar la adecuada destrucción de la información y los medios de almacenamiento que la contienen, para proteger su confidencialidad. |
Controles | Nivel 1 - GA.5-1: están definidas las pautas para la disposición final y borrado seguro de medios de almacenamiento.
- GA.5-2: está difundida la importancia de la eliminación de medios de almacenamientos que ya no serán utilizados.
Nivel 2 - GA.5-3: están definidos responsables o ubicaciones específicas para la eliminación segura de medios de almacenamiento.
- GA.5-4: están establecidos los criterios para determinar cuándo corresponde la destrucción lógica y/o física de la información.
Nivel 3 - GA.5-5: está definida formalmente una política de destrucción de la información.
- GA.5-6: está definido formalmente un procedimiento de destrucción de la información.
- GA.5-7: se registran las actividades de destrucción de la información, incluyendo fecha, tipo de medio, método aplicado y personal.
- GA.5-8: se verifica la efectividad de los métodos de destrucción utilizados.
Nivel 4 - GA.5-9: se realizan actividades de control interno para evaluar la correcta aplicación del procedimiento de destrucción.
|
Guía de implementación | Política y procedimiento Se debe definir una política y un procedimiento documentado para la destrucción de la información, que contemple los medios de almacenamiento para impedir la fuga de información contenida en ellos. Se deben establecer métodos para para la disposición final y borrado seguro de los medios de almacenamiento. El procedimiento debe contener los pasos para asegurar la eliminación lógica y física de la información (trituración, incineración, desmagnetización, borrado seguro, entre otros), según sea el caso y según lo determine cada organización. Eliminación y disposición Los métodos de eliminación elegidos deben asegurar que terceras partes no puedan acceder al medio luego de su disposición con el propósito de intentar recuperar información en forma no autorizada. Se deberán establecer en la medida que sea posible, puntos para la disposición de los medios de forma tal que estas actividades se realicen en forma coordinada. |
Instituciones de salud | Resulta imprescindible contar con mecanismos de eliminación segura de la información de los medios de almacenamiento ya que no gestionar adecuadamente los procesos de destrucción de información podría generar una brecha de confidencialidad. Se debe contar con procedimientos formales que incluyan los pasos a seguir y deben considerarse también, no solo los equipos tradicionales de procesamiento de información, sino también el equipamiento médico que procese, registre y/o reporte información de las historias clínicas de los usuarios. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría | - Política de destrucción de información y medios de almacenamiento.
- Procedimiento operativo para la destrucción segura de medios de almacenamiento.
- Registros de destrucción por período auditado (formularios, actas, informes, etc.).
- Comunicación institucional sobre las pautas de destrucción a usuarios finales.
- Resultados de controles internos y documentos que demuestren el cierre de desvíos detectados.
- Evidencia de verificación de efectividad de los métodos utilizados (por ejemplo, pruebas de borrado, certificados de destrucción por terceros).
- Listas de control de medios destruidos, integradas con inventario previo.
|
Normativa asociada | Ley 18.331: Protección de datos personales, acción de habeas data. |