GA 2 Clasificar y proteger la información de acuerdo a la normativa y a los criterios de valoración definidos.
| Objetivo | Proteger y garantizar la confidencialidad, integridad y disponibilidad de la información durante todo el ciclo de vida de los activos. |
| Alcance | Cualquier organización |
| Referencia ISO 27001 | A.8.2.1, A.8.2.2 |
| Guía de implementación | Se debe realizar un análisis y valoración de la información que posee con el fin de definir una clasificación apropiada, dependiendo de su valor, sus requisitos legales, la sensibilidad e importancia.
|
| Administración Central | - |
| Instituciones de salud | Protección de datos personales – datos sensibles Según la ley 18.331 artículo 4, numeral E, los datos de salud son considerados datos sensibles. Se debe tomar en cuenta el artículo 19 de la mencionada ley que indica que: “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los usuarios que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional, la normativa específica y lo establecido en la presente ley”. Confidencialidad de los CDA Las instituciones deberían considerar la “Guía CDA Mínimo” para evaluar el nivel de confidencialidad de cada CDA (confidentialityCode) preestableciendo criterios de asignación. Instituciones de salud pública Las instituciones de salud pública deben clasificar la información de acuerdo a la ley 18.381. Instituciones de salud privadas En el ámbito privado, se recomienda clasificar la información de salud como confidencial. Asimismo, se debe clasificar el resto de la información de la institución, aunque no constituyan datos de salud, utilizando criterios de valoración y análisis de riesgos que la institución defina. |
| Guía de evidencia para auditoría |
|
| Normativa asociada | Ley 18.381: Derecho de acceso a la información pública. |