Está en la página 1de 121

PROCESO

PROCEDIMIENTO

Dependencia / Dirección /
Coordinación

Proceso Asociado

Objetivo Proceso

Procedimientos Asociados

Controles asociados al proceso


(Alineado con NTC-ISO/IEC 27002)

Nota aclaratoria: De acuerdo al debido desarrollo del Objetivo del Proceso Asociado y
Sb / Subserie (Subtema)
S / Serie (Tema)
PROPIETARIO /
CATEGORIA/SERIE Id. Activo
RESPONSABLE
FECHA ULTIMA ACTUALIZACIÓN
ADMINISTRACIÓN DEL SISTEMA INTEG

MATRIZ DE VALORACIÓN DE ACTIVOS Y ANÁLISIS DE RIESGOS DE

Objetivo Procedimiento Asociado

Objetivo Procedimiento Asociado

Objetivo Procedimiento Asociado

Objetivo Procedimiento Asociado

Objetivo Procedimiento Asociado

o del Objetivo del Proceso Asociado y los respectivos Objetivos de cada procedimiento, contribuyen al cumplimiento

REGISTRO DE ACTIVOS DE INFORMACIÓN


EL (Electrónico)
SIG / Código
ACTIVOS DE INFORMACIÓN Documento o
/SUBSERIE/Tipos Documentales Formato en Sistema
Integrado de Gestión
ADMINISTRACIÓN DEL SISTEMA INTEGRADO DE GESTIÓN

CIÓN DE ACTIVOS Y ANÁLISIS DE RIESGOS DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

bjetivo Procedimiento Asociado

bjetivo Procedimiento Asociado

bjetivo Procedimiento Asociado

bjetivo Procedimiento Asociado

bjetivo Procedimiento Asociado

da procedimiento, contribuyen al cumplimiento de los Controles asociados en este documento y que se encuentran de

GISTRO DE ACTIVOS DE INFORMACIÓN


DESCRIPCIÓN DEL ACTIVO DE
Idioma
INFORMACIÓN
N

VACIDAD DE LA INFORMACIÓN

ociados en este documento y que se encuentran descritos en la Declaración de Aplicabilidad del Subsistema de Gest
MEDIO DE CONSERVACIÓN Y/O
FORMATO
SOPORTE
CÓDIGO

VERSIÓN

n la Declaración de Aplicabilidad del Subsistema de Gestión de Seguridad de la Información.


INFORMACIÓN PUBLICADA O DISPONIBLE
ASFT22

ma de Gestión de Seguridad de la Información.

CALIFICACIÓN DE LA INFORMACIÓN
CONDICIÓN LEGÍTIMA DE LA EXCEPCIÓN CONDICIÓN

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
ACIÓN VALORA
CALIFICACIÓN
TIPO DE ACTIVO CONFIDENCIALIDAD
(GGPD01 - GGFT01)

NO CALIFICADA 1. Mínimo.
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
NO CALIFICADA
VALORACIÓN DEL ACTIVO
INTEGRIDAD DISPONIBILIDAD DIMENSIÓN ACTIVO

1. Mínimo. 1. Mínimo. MEDIO


#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
#VALUE!
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
ANÁLISIS DE RIESGOS RIESGO DE SEGURIDAD
FACTOR DE
OBSERVACIONES VULNERABILIDAD
RIESGO
RIESGO DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN VALORACIÓN DEL R
RIESGO DE SEGURIDAD Y
CAUSA / CONSECUENCIA /
PRIVACIDAD DE LA Id. Riesgo
AMENAZA EFECTO
INFORMACIÓN
VALORACIÓN DEL RIESGO INHERENTE DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN
DIMENSIÓN DEL RIESGO
PROBABILIDAD IMPACTO
INHERENTE

Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
Err:502
ACIDAD DE LA INFORMACIÓN EFECTIVIDAD DE ACTIVIDADES O CONTROLES EX
La Actividad o Control se
cuenta con responsable
La Actividad o Control
está documentada,

está Aplicando
Descripción de la Actividad o
TIPIFICACIÓN DEL RIESGO
Control Existente

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
ES O CONTROLES EXISTENTES VALORACIÓN DEL RIESGO RESIDUAL
La Actividad o Control es

Cumple su función
Efectiva

EFECTIVIDAD DE LA
ACTIVIDAD O CONTROL PROBABILIDAD IMPACTO
EXISTENTE

0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
0%
IÓN DEL RIESGO RESIDUAL
DIMENSIÓN DEL TIPIFICACIÓN DEL
RIESGO RESIDUAL RIESGO

Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Err:502 0
Definiciones
Encabezado

Campo

Dependencia / Dirección / Coordinación

Proceso Asociado

Objetivo Proceso

Procedimientos Asociados

Objetivos Procedimientos Asociados

Controles asociados al proceso (Alineado con NTC-ISO/IEC


27002)

Cuerpo de la Matríz

Campo
PROPIETARIO / RESPONSABLE

S / Serie (Tema)

CATEGORIA/SERIE

Sb / Subserie (Subtema)

Id. Activo

ACTIVOS DE INFORMACIÓN
/SUBSERIE/Tipos Documentales

REGISTRO DE ACTIVOS DE
INFORMACIÓN
REGISTRO DE ACTIVOS DE
INFORMACIÓN
EL (Electrónico)

SIG / Código Documento o


Formato en Sistema Integrado
de Gestión

DESCRIPCIÓN DEL ACTIVO DE


INFORMACIÓN

Idioma

MEDIO DE CONSERVACIÓN Y/O


SOPORTE

FORMATO

INFORMACIÓN PUBLICADA O
DISPONIBLE
CONDICIÓN LEGÍTIMA DE LA
EXCEPCIÓN

CALIFICACIÓN DE LA CONDICIÓN
INFORMACIÓN

CALIFICACIÓN
(GGPD01 - GGFT01)

TIPO DE ACTIVO

CONFIDENCIALIDAD

INTEGRIDAD
VALORACIÓN DEL ACTIVO
DISPONIBILIDAD

DIMENSIÓN ACTIVO

OBSERVACIONES

FACTOR DE RIESGO
VULNERABILIDAD
ANÁLISIS DE RIESGOS CAUSA / AMENAZA
RIESGO DE SEGURIDAD Y
CONSECUENCIA / EFECTO
PRIVACIDAD DE LA
INFORMACIÓN
ANÁLISIS DE RIESGOS
RIESGO DE SEGURIDAD Y
PRIVACIDAD DE LA
INFORMACIÓN RIESGO DE SEGURIDAD Y
PRIVACIDAD DE LA
INFORMACIÓN

Id. Riesgo

VALORACIÓN DEL RIESGO PROBABILIDAD


INHERENTE DE SEGURIDAD IMPACTO
Y PRIVACIDAD DE LA
INFORMACIÓN DIMENSIÓN DEL RIESGO
INHERENTE

TIPIFICACIÓN DEL RIESGO

Descripción de la Actividad o
Control Existente
La Actividad o Control está
documentada, cuenta con
EFECTIVIDAD DE responsable
ACTIVIDADES O CONTROLES La Actividad o Control se está
EXISTENTES Aplicando
La Actividad o Control es
Efectiva
Cumple su función
EFECTIVIDAD DE LA ACTIVIDAD
O CONTROL EXISTENTE
PROBABILIDAD

IMPACTO
VALORACIÓN DEL RIESGO
DIMENSIÓN DEL RIESGO
RESIDUAL
RESIDUAL

TIPIFICACIÓN DEL RIESGO


Definiciones

Definición
Área o dependencia productora de la Información. Se toma la
información directamente de la Caracterización del Proceso.

Proceso Productor de la Información. Se toma la información


directamente de la Caracterización del Proceso.

Objetivo del Proceso productor de la Información. Se toma la


información directamente de la Caracterización del Proceso.

Procedimientos que apoyan el Proceso Productor de la Información.


Se toma la información directamente del procedimiento asociado al
proceso.
Objetivos de los procedimientos que apoyan el Proceso Productor de
la Información. Se toma la información directamente del
procedimiento asociado al proceso.
Controles que se cumplen al cumplirse el desarrollo de los objetivos
del Proceso Productor de la Información a través de la gestión en
conjunto de los Activos de Información del Proceso Productor de la
Información. Se toma la información directamente del procedimiento
asociado al proceso.

Definición
Responsable del Proceso, del Activo de Información, de los Riesgos
de Seguridad y Privacidad y de las Actividades de Tratamiento.
Codificación de la Serie Documental. Se trae la información de las
Tablas de Retención Documental (TRD) manejado por Gestión
Documental.
Nombre de la Categoría o Serie Documental. Se trae la información
de las Tablas de Retención Documental (TRD) manejado por Gestión
Documental.
Codificación de la Subserie Documental. Se trae la información de
las Tablas de Retención Documental (TRD) manejado por Gestión
Documental.
Codficación del Activo de Información (A), es consecutivo utilizado
por la Oficina de Tecnologías de la Información / Seguridad de la
Información para su fácil identificación y se acompaña de la
definición de las TRD TD (Tipo Documental). Cuando los activos de
información son padres de varios activos, el identificador iniciará
con el identificador del padre y luego se colocará el respectivo
identificador de las TRD. Ejemplo: Padre A1, hijos A1 Td, A2 Td y así
sucecivamente.
Nombre del Activo de Información. Trabajo en conjunto entre el
dueño del proceso y Oficina de Tecnologías de la Información /
Seguridad de la Información. La fuente inicial son las evidencias que
seencuentran descritas en los documentos: Caracterización del
proceso y los procedimientos asociados a esta caracterización. Los
activos son validados con el dueño del proceso y se asocian con las
Tablas de Retención Documental (TRD).
Electrónico de acuerdo a la definición Documental. Se trae la
información de las Tablas de Retención Documental (TRD) manejado
por Gestión Documental.
Formato que hace parte del Sistema Integrado de Gestión.

Descripción del Activo de Información de acuerdo con el Cuadro de


Clasificación Documental, descripción que inicialmente se toma de
la información relacionada en la caracterización y procedimientos
asociados, y debe ser validada o en su defecto completada por el
dueño
Idioma del
en proceso.
el que se presenta el contenido de la Información. El
dueño del proceso indica en qué idioma se encuentra la información
que se maneja a través del activo de información que almacena la
misma.
Medio en el cual se presenta la información. Se toma directamente
en lo establecido por la Ley 1712/2014.

Formato en el cual se presenta la información. Se toma


directamente en lo establecido por la Ley 1712/2014 y con
validación del dueño de proceso.
Si la información se encuentra de manera pública o disponible para
su consulta.
Condiciones que indican la selección de Calificación de la
Información. Se toma directamente en lo establecido por la Ley
1712/2014.
Campo automático de acuerdo a la definición de la Condición
legítima de la Excepción. Campo automático.

Categoría de Calificación de la Información. Campo automático.

Identificación o categorización del tipo de activo. De acuerdo a la


explicación de cada tipo de activo y se realiza una validación por
parte de la Oficina de Tecnologías de la Información / Seguridad de
la Información.
Valoración de la Confidencialidad. Qué tan confidencial debe ser el
activo de información que se está evaluando.
Valoración de la Integridad. Qué tan íntegro en su contenido debe
ser el activo de información que se está evaluando.
Valoración de la Disponiblidad. Qué tan disponible para el público en
general debe ser el activo de información que se está evaluando.
Resultado final de la Valoración. Campo automático.

Observaciones respecto al Activo de Información. Porqué se realizan


esas calificaciones, y qué se tuvo en cuenta para determinar las
mismas.
Principios que pueden afectar la confidencialidad, la integridad o la
disponibilidad de la información.
Debilidad indentificada en el tratamiento del activo.
Oportunidades que pueden aprovechar las debilidades del activo.
Resultado o desenlace del evento de riesgo.
Riesgo identificado como parte del análisis de las anteriores
variables. De acuerdo a la calificación realizada y alineada con los
parámetros descritos en Guía ASGU05 Guía Metodológica de Análisis
de Riesgos de Seguridad y Privacidad de la Información.
Codificación del Riesgo. Consecutivo que brinda Oficina de
Tecnologías de la Información / Seguridad de la Información para su
fácil identificación en el momento que se requieran generar planes
de tratamiento y seguimientos a los mismos.
Posibilidad de ocurrencia del evento de riesgo.
Valoración de la consecuencia o efecto del evento de riesgo.
Nivel resultante de la valoración de las anteriores variables. Campo
automático.

Categorización del Riesgo de Seguridad o Privacidad de la


Información. Campo automático.

Especificación de la Actividad o Control existente definida por el


dueño del proceso.
Verificación de la Documentación de la actividad o control existente
definido por el dueño del proceso.

Confirmación de la aplicación de la actividad o control existente


defiido por el dueño del proceso.
Confirmación de la función de la actividad o control existente
definido por el dueño del proceso.
Porcentaje de la efectividad de la actividad o control existente.
Campo automático.
Posibilidad de ocurrencia del evento de riesgo luego de validar las
actividades o controles existentes.
Valoración de la consecuencia o efecto del evento de riesgo luego
de validar las actividades o controles existentes.
Nivel resultante de la valoración de las anteriores variables. Campo
automático.

Categorización del Riesgo de Seguridad o Privacidad de la


Información. Campo automático.
Responsable de diligenciamiento
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información

Responsable de diligenciamiento
Dueño del proceso.

Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información

Dueño del proceso / Oficina de


Tecnologías de la Información /
Seguridad de la Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Dueño del proceso / Oficina de
Tecnologías de la Información /
Seguridad de la Información

Dueño del proceso.

Oficina de Tecnologías de la
Información / Seguridad de la
Información y Validación con la
Oficina Asesora Jurídica o quien
a ella delegue.
Dueño del proceso / Oficina de
Tecnologías de la Información /
Seguridad de la Información
Dueño del proceso.

Dueño del proceso.

Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Oficina de Tecnologías de la
Información / Seguridad de la
Información
Dueño del proceso.

Dueño del proceso.

Dueño del proceso.


Dueño del proceso.
Dueño del proceso.
Oficina de Tecnologías de la
Información / Seguridad de la
Información

Oficina de Tecnologías de la
Información / Seguridad de la
Información

Dueño del proceso.


Dueño del proceso.
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información
Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Dueño del proceso.

Oficina de Tecnologías de la
Información / Seguridad de la
Información
Oficina de Tecnologías de la
Información / Seguridad de la
Información