Skip to main content

Clasificación de la Información

1 Objeto

El objetivo del presente documento es garantizar que se proteja la información en un nivel adecuado.

Este documento se aplica a todo el alcance del Sistema de Gestión de Seguridad de la Información (SGSI) es decir, a todos los tipos de información, independientemente del formato, ya sean documentos en papel o electrónicos, aplicaciones y bases de datos, conocimiento de las personas, etc.

2 Alcance

Este procedimiento es de aplicación a todas las áreas de la Organización que hagan procesamiento de datos.

3 Definiciones

Confidencialidad
Es un principio fundamental de la seguridad de la información que garantiza el necesario nivel de secreto de la información y de su tratamiento, para prevenir su divulgación no autorizada cuando está almacenada o en tránsito.

4 Responsabilidades

TareaResponsabilidades
R A S C I
Clasificar y etiquetar la información según esta política

5 Desarrollo

El nivel de confidencialidad se determina de acuerdo con los siguientes criterios:

  • Valor de la información: según los impactos evaluados durante la evaluación de riesgos.
  • Sensibilidad y grado crítico de la información: según el mayor riesgo calculado para cada elemento de información durante la evaluación de riesgos.
  • Obligaciones legales y contractuales: según la lista de obligaciones legales, normativas y contractuales y de otra índole.

5.1 Categorías

CategoríaCriterios de clasificación / Ejemplos
Público Información destinada al consumo público.
  • Política de Seguridad de la Información
  • Página web
  • Apps liberadas
  • Catálogo
  • Cuentas anuales
  • Escrituras de apoderamiento
Interno Información general del negocio para uso interno únicamente.
  • Datos de la actividad de los usuarios
Confidencial Datos sensibles restringidos a funciones, equipos o proyectos específicos, a los cuales el resto de la plantilla por defecto no tiene acceso.
  • Nóminas
  • Convenios empleados
  • Remuneraciones
  • Documentos bancarios
  • Pedidos a Proveedores
  • Seguros sociales
  • Ofertas comerciales de proveedores
  • Datos Personales de los usuarios
Altamente Confidencial Datos críticos del negocio, como registros financieros o propiedad intelectual, con los controles de acceso más estrictos.
  • Contratos (clientes, proveedores, empleados).
  • Declaraciones de impuestos
  • Contabilidad
  • Facturación con Clientes/Proveedores
  • Código fuente

5.2 Etiquetado

Las reglas para el etiquetado son:

CategoríaEtiquetado
Público No se indica la categoría explícitamente en el documento o carpeta.
Interno Se indica la categoría al menos en la portada y cuadro de metadatos del documento (si dispone de él), y opcionalmente en el margen superior / inferior, encabezado / pié de página.
Confidencial Se indica la categoría al menos en la portada y cuadro de metadatos del documento (si dispone de él), y opcionalmente en el margen superior / inferior, encabezado / pié de página.
Altamente Confidencial Se indica la categoría al menos en la portada y cuadro de metadatos del documento (si dispone de él), y en todas las páginas en el margen superior / inferior, encabezado / pié de página.

En el caso de documentos o carpetas digitales en Google Workspace/Google Drive, se utilizará la clasificación para el etiquetado de seguridad (metadatos) del elemento en cuestión (classification labels, consultar https://support.google.com/a/answer/9292382?hl=en).

Según estas etiquetas, el Responsable de Sistemas establecerá reglas de Data Loss Prevention (DLP rules) en Gmail, Google Workspace y Google Drive para aplicar automáticamente etiquetas de sensibilidad a los documentos y carpetas según el Registro de Perfilado Funcional, donde se definirá qué roles de la organización podrán descargar, compartir o reenviar cada item según su nivel de confidencialidad etiquetado.

5.3 Manipulación

Las reglas generales de manipulado son:

CategoríaEtiquetado
Público No se indica la categoría explícitamente en el documento o carpeta. Se puede compartir por correo electrónico, publicar en la web, o en otras plataformas de acceso público.
Interno A nivel interno se comparte mediante repositorio de ficheros en Google Drive al cual todos los usuarios internos tienen privilegios de acceso. Se comparte externamente en caso de ser necesario, aunque no es necesaria la firma de NDA.
Confidencial A nivel interno se comparte mediante suministro de acceso al repositorio de ficheros en Google Drive corporativo. Solo se comparte externamente en caso de ser necesario, previa firma de NDA. A nivel interno solo se comparte mediante repositorios de ficheros, con restricción de acceso.
Altamente Confidencial Solo se comparte internamente en caso de ser estrictamente necesario. Se comparte mediante suministro de acceso al repositorio de ficheros en Google Drive corporativo. Solo se comparte externamente en caso de ser estrictamente necesario, previa firma de NDA. Solo se comparte mediante enlaces personalizados al elemento en el repositorio de ficheros de Google Drive.

5.4 Incumplimiento

El incumplimiento del presente procedimiento traerá consigo las consecuencias legales que apliquen a la normativa de la Organización, incluyendo lo establecido en las normas que competen a las Autoridades en cuanto a seguridad y privacidad de la información se refiere.

6 Anexos

N/A

7 Formatos

N/A

8 Registros

N/A

9 Documentos Relacionados

N/A

10 Referencias Normativas

  • ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.