GOBIERNO Y GESTIÓN DE LA

PROCESO CÓDIGO GGGU02

INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

GESTIÓN DE ACTIVOS DE INFORMACIÓN

BOGOTÁ D.C.
2016

ELABORÓ: REVISÓ: APROBÓ:

Profesional Oficina de Jefe Oficina de Tecnologías Jefe Oficina de Tecnologías

Tecnologías de la de la Información
de la Información
Información

Profesional Oficina Jefe Oficina Asesora de

Asesora de Planeación Planeación

FECHA: 05/06/2016 FECHA: 20/06/2016 FECHA: 28/07/2016

1
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

TABLA DE CONTENIDO

1. OBJETIVO ................................................................................................................................. 3
2. ALCANCE .................................................................................................................................. 3
3. ÁMBITO DE APLICACIÓN...................................................................................................... 3
4. REQUISITOS DE CALIDAD APLICABLE ............................................................................ 3
5. DEFINICIONES ........................................................................................................................ 3
6. GENERALIDADES ................................................................................................................... 6
7. ROLES Y RESPONSABILIDADES ....................................................................................... 8
8. DESARROLLO DE LA TEMÁTICA DE LA GUÍA ................................................................ 9
REFERENCIAS BIBLIÓGRAFICAS: ........................................................................................... 11

2
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

1. OBJETIVO

Establecer los lineamientos para la adecuada identificación y clasificación de activos de

información que genere, obtenga, adquiera, transforme o controle la Superintendencia
Nacional de Salud.

2. ALCANCE

Esta guía comprende las etapas para el registro de los activos de información, inicia con la
identificación y clasificación. Continúa con la calificación documental, revisión y aprobación.
Termina con la publicación del inventario de activos de la Entidad.

3. ÁMBITO DE APLICACIÓN

La guía aplica a los procesos estratégicos, misionales, de apoyo y de evaluación y control

de la Superintendencia Nacional de Salud para realizar el inventario de activos de
información mediante el formato GGFT02 - Registro de Activos de Información.

4. REQUISITOS DE CALIDAD APLICABLE

Esta guía da cumplimiento al Artículo 13 de la Ley 1712 de 2014 de Transparencia y del

Derecho de Acceso a la Información Pública Nacional, al Título V, Capítulo I del Decreto
103 de 2015 por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras
disposiciones. Así como el numeral A.8 del Anexo A de la Norma Técnica Colombiana NTC-
ISO/IEC 27001:2013 Técnicas de seguridad. Sistemas de gestión de la seguridad de la
información (SGSI) y la Resolución 1348 de 2016 de la Superintendencia Nacional de
Salud, por la cual se reglamenta internamente la elaboración, actualización, publicación y
manejo de los instrumentos de gestión de la información pública.

5. DEFINICIONES

Los términos y definiciones aplicables para el registro de activos de información son los
establecidos en la Norma NTC-ISO/IEC 27000 y los componentes del Registro de Activos

3
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

de Información descritos en el Decreto 103 de 2015, por el cual se reglamenta parcialmente

la Ley 1712 de 2014.

• Activo: cualquier cosa que tiene valor para la organización. La norma ISO/IEC 27000,
define los siguientes tipos de activos:

- información;
- software, como un programa informático;
- físico, como computadora;
- servicios;
- personas, y sus calificaciones, habilidades y experiencia; y
- intangibles, como reputación e imagen

• Activo de información: conocimiento o información que tiene valor para la

organización.

• Confidencialidad: propiedad de la información de no ponerse a disposición o ser

revelada a individuos, entidades o procesos no autorizados.

La información debe ser accedida sólo por aquellas personas que lo requieran como
una necesidad legítima para la realización de sus funciones. La revelación no
autorizada de la información calificada de acuerdo con un nivel de confidencialidad
alta, implica un grave impacto en la Superintendencia Nacional de Salud, en
términos económicos, de su imagen y ante sus clientes.

• Descripción del contenido la categoría de información: define brevemente de qué

se trata la información.

• Disponibilidad: propiedad de la información de estar accesible y utilizable cuando lo

requiera una entidad autorizada.

La información debe estar en el momento y en el formato que se requiera ahora y

en el futuro, al igual que los recursos necesarios para su uso; la no disponibilidad de
la información puede resultar en pérdidas financieras, de imagen y/o credibilidad
ante los clientes de la Superintendencia Nacional de Salud.

4
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

• Formato: identifica la forma, tamaño o modo en la que se presenta la información o se

permite su visualización o consulta, tales como: hoja de cálculo, imagen, audio, video,
documento de texto, etc.

• Idioma: establece el Idioma, lengua o dialecto en que se encuentra la información.

• Información publicada o disponible: indica si la información está publicada o

disponible para ser solicitada, señalando dónde está publicada y/o dónde se puede
consultar o solicitar”.

• Integridad: propiedad de la información relativa a su exactitud y completitud.

La información de la Superintendencia Nacional de Salud debe ser clara y completa,

y solo podrá ser modificada por el personal expresamente autorizado para ello. La
falta de integridad de la información puede exponer a la empresa a toma de
decisiones incorrectas, lo cual puede ocasionar pérdida de imagen o pérdidas
económicas.

• Instrumentos de gestión de la información pública: los instrumentos para la gestión

de la información pública, conforme con lo establecido en la Ley 1712 de 2014, son:

- Registro de Activos de Información.

- índice de Información Clasificada y Reservada.
- Esquema de Publicación de Información.
- Programa de Gestión Documental.

• Medio de conservación y/o soporte: establece el soporte en el que se encuentra la

información: documento físico, medio electrónico o por algún otro tipo de formato
audiovisual entre otros (físico, análogo o digital electrónico).

• Nombre o título de la categoría de información: término con que se da a conocer el

nombre o asunto de la información.

• Registro de Activos de Información: el Registro de Activos de la formación es el

inventario de la información pública que el sujeto obligado genere, obtenga, adquiera,
transforme o controle en su calidad de tal.

5
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

• Tabla de Retención Documental -TRD: listado de series, con sus correspondientes

tipos documentales, a las cuales se asigna el tiempo de permanencia en cada etapa del
ciclo vital de los documentos.

6. GENERALIDADES

La Superintendencia Nacional de Salud, comprende la importancia de una adecuada

gestión de activos de información, por lo cual tener un inventario y clasificación de activos
es parte esencial del Subsistema de Seguridad de la Información de la entidad, dado que a
través de éste se conoce cuántos activos tiene la entidad, sus propietarios y los
responsables de los mismos, así como el nivel de clasificación que tienen para conocer qué
tratamiento debe dársele, con el fin de evitar la materialización de riesgos en la entidad.

Adicionalmente el registro de activos de información permite dar cumplimiento a lo

establecido en la Ley 1712 de 2014 y su decreto reglamentario, el cual señala que en el
Registro de Activos de Información debe detallarse los siguientes datos:

- Nombre o título de la categoría de información

- Descripción del contenido la categoría de información
- Idioma
- Medio de conservación y/o soporte
- Formato
- Información publicada o disponible
Igualmente se da cumplimiento a los cuatro (4) puntos principales del numeral 8 del Anexo
A del estándar ISO/IEC 27001:2013 donde indica lo siguiente:

Inventario de activos: se deben identificar los activos asociados con información e

instalaciones de procesamiento de información, y se debe elaborar y mantener un inventario
de estos activos.
Propiedad de los activos: los activos de información mantenidos en el inventario deben
tener un propietario.
Clasificación de la información: la información se debe clasificar en función de los
requisitos legales, valor, criticidad y susceptibilidad a divulgación o a modificación no
autorizada. En la entidad los criterios de clasificación se basan en la Ley 1712 de 2014 y
la criticidad de los activos se hace de acuerdo con la Confidencialidad, Integridad y
Disponibilidad de los mismos, donde las escalas de medición se definieron como Alta,
Media o Baja.

6
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

Etiquetado y manipulado de la información: se debe desarrollar e implementar un

conjunto adecuado de procedimientos para el etiquetado de la información, de acuerdo con
el esquema de clasificación de información adoptado por la organización.

Asimismo, la norma NTC-ISO-IEC 27000 recomienda los siguientes tipos de activos de

información:

- información;
- software, como un programa informático;
- físico, como computadora;
- servicios;
- personas, y sus calificaciones, habilidades y experiencia; y
- intangibles, como reputación e imagen

No obstante, en la entidad, se definieron los tipos de activos de información “Datos o

Información”, “Software”, “Hardware”, “Servicios” y “Otros”. Lo anterior, teniendo en cuenta
que para los tipos de activos de información “Personas” e “Intangibles se requiere de
análisis específicos y especializados relacionados con el manejo y desarrollo del talento
humano y la gestión del conocimiento en la entidad.

Para el tipo de activo “físico” que refiere la norma a los equipos e infraestructura, se definió
como “Hardware”. Finalmente se incluye la opción “otros” para hacer referencia a los
activos de información que no pertenecen a ninguna de las categorías mencionadas
anteriormente.

La Superintendencia Nacional de Salud, ha realizado la identificación de activos de

información desde el año 2016, donde se inició con cuatro (4) procesos, dos (2) misionales
y dos (2) de apoyo y los años siguientes ha ampliado el número de procesos.
Adicionalmente ha elaborado un formato para el registro de activos información y un formato
en el que se consolida los instrumentos de gestión de la información pública, conforme lo
establecido en la Ley 1712 de 2014.

Por lo anterior, esta guía describe la metodología utilizada para el registro de activos de
información en la Superintendencia Nacional de Salud, la cual se hace a través de la
identificación, calificación documental, revisión y aprobación, así como su publicación y
finaliza con su respectiva actualización.

7
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

7. ROLES Y RESPONSABILIDADES

• Líder de Proceso

Funcionarios que ejercen el rol de Superintendentes Delegados, Secretario General, Jefes

de Oficina Asesora y Jefes de Oficina en la Superintendencia Nacional de Salud,
encargados de apoyar, otorgar el tiempo y recursos necesarios para realizar la
identificación, actualización, clasificación, revisión y aprobación de los activos de
información de los procesos que tiene a su cargo, con el acompañamiento del Profesional
de la Oficina de Tecnología de la Información – Grupo de Administración y Seguridad de la
Información y el Profesional de Gestión Documental.

• Profesional de la Oficina de Tecnologías de la Información - Grupo de

Administración y Seguridad de la Información.

Funcionario o contratista encargado de acompañar al líder de proceso en la identificación,

clasificación y/o actualización de los activos de información de los procesos que tiene a
cargo.

• Profesional de Gestión Documental

Funcionario o contratista encargado de acompañar al líder de proceso en la calificación

documental de los activos de información identificados para su proceso, de acuerdo con las
Tablas de Retención Documental de la entidad.

• Profesional de la Oficina Asesora de Planeación

Funcionario o contratista encargado de gestionar la publicación del inventario de activos de

información de la entidad en el canal dispuesto para tal fin, así como en el Portal de Datos
Abiertos del Estado colombiano o en el sitio que lo modifique o sustituya.

Adicionalmente, de acuerdo con lo establecido en el Artículo 2 de la Resolución 1348 de

2016 de la Superintendencia Nacional de Salud, por la cual se reglamenta internamente la
elaboración, actualización, publicación y manejo de los instrumentos de gestión de la

8
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

información pública, la Oficina Asesora de Planeación se encarga de orientar a las

dependencias intervienen en este proceso.

8. DESARROLLO DE LA TEMÁTICA DE LA GUÍA

El registro de activos de información de los procesos de la Superintendencia Nacional de

Salud se realiza mediante el formato GGFT02 Registro de Activos de Información, tomando
como referencia para su diligenciamiento, lo descrito en el instructivo GGIN02 – Instructivo
para el diligenciamiento del formato de activos de información.

Etapas para la identificación de activos de información:

Las etapas descritas a continuación hacen referencia a la metodología utilizada para el

registro de activos de información en la entidad:

Figura. 1 Etapas para la identificación de Activos de Información

2.
Calificación
Documental

1. 3.
Identificación Revisión y
Información y Clasificación Registro
Aprobación
del de Activos
Proceso de
Información

5. 4.
Actualización Publicación

9
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

La Información del Proceso permite definir el nombre del proceso al que se realizará el
Registro de Activos de Información conforme a los datos requeridos por la Ley 1712 de
2014 y la Noma Técnica ISO/IEC 27001:2013 como se indica a continuación:

1. Identificación y Clasificación: la Oficina de Tecnologías de la Información realiza la

identificación y clasificación de los activos de información de la entidad conjuntamente
con los líderes de proceso o con el funcionario designado para tal fin (gestor), con el fin
de valorarlos y protegerlos adecuadamente teniendo en cuenta los cambios en la
normatividad vigente, en el mapa de procesos o en la estructura organizacional de la
Superintendencia Nacional de Salud.

2. Calificación Documental: la calificación documental de los activos de información busca

la adecuada custodia de los mismos, teniendo en cuenta los tiempos de retención en el
archivo de gestión y central de acuerdo con las Tablas de Retención Documental – TRD
del proceso, basadas en las normas archivísticas que rigen a la entidad.

Esta calificación se realiza con el acompañamiento del Profesional de Gestión Documental,

acorde con lo establecido en la Resolución 1348 de 2016 “Por la cual reglamenta
internamente la elaboración, actualización, publicación y manejo de los Instrumentos de
Gestión de la Información Pública, conforme a lo establecido en la Ley Estatutaria 1712 de
2014 y demás normas relacionadas”.

3. Revisión y Aprobación: una vez se finaliza el ejercicio de identificación y clasificación

de activos de información, la Oficina de Tecnologías de la Información, mediante
memorando envía a los líderes de procesos el registro de activos de información de los
procesos que tiene a cargo para su respectiva revisión y aprobación.

4. Publicación: Una vez aprobados los activos de información, la Oficina de Tecnologías

de la Información, consolida los activos de información y los entrega mediante memorando
a la Oficina Asesora de Planeación para su publicación en el sitio web oficial de la
Superintendencia Nacional de Salud y en los que solicite la normatividad vigente.

5. Actualización: anualmente la Oficina de Tecnologías de la Información actualiza el

registro de activos de información acorde con la normatividad vigente o cambios que se
presenten al interior de la Superintendencia Nacional de Salud.

10
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

REFERENCIAS BIBLIÓGRAFICAS:

[1] Ley 1712 de 2014 “por medio de la cual se crea la Ley de transparencia y del derecho
de acceso a la información pública nacional y se dictan otras disposiciones”. Disponible en
http://repositorio.archivogeneral.gov.co/repositorio/files/original/2c48a05ede4f97faa2ac4af
4a73fcae9.pdf.

[2] Decreto Nacional 103 de 2015 “por el cual se reglamenta parcialmente la Ley 1712 de
2014 y se dictan otras disposiciones”. Disponible en
http://repositorio.archivogeneral.gov.co/repositorio/files/original/54324955cd263bec229ad3
618a0f7a5b.pdf.

[3] Resolución 1348 de 2016 “Por la cual reglamenta internamente la elaboración,

actualización, publicación y manejo de los Instrumentos de Gestión de la Información
Pública, conforme a lo establecido en la Ley Estatutaria 1712 de 2014 y demás normas
relacionadas”.

[4] Tecnología de la información. Técnicas de seguridad. Sistemas de gestión de la

seguridad de la información (SGSI). Requisitos. Bogotá D.C.: ICONTEC, 2013. 37p.: il.
(NTC-ICO/IEC 27001).

[5] Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de la

seguridad de la información - Generalidades y vocabulario ISO / IEC 27000.

11
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

CONTROL DE CAMBIOS

RESPONSABLE FECHA DEL

ASPECTOS QUE DETALLES DE LOS
DE LA CAMBIO
CAMBIARON EN EL CAMBIOS VERSIÓN
SOLICITUD
DOCUMENTO EFECTUADOS DD/MM/AAAA
DEL CAMBIO

Mediante la resolución
2189 de 2016, se Jefe Oficina de
Adopción del
adopta el proceso Tecnologías de 28/07/2016 1
documento
“Gobierno y gestión de la Información
la información”

Solicitud de creación
procesos mediante
memorando NURC 3-
2016-012521 Jefe Oficina de
Aprobación del
Tecnologías de 02/08/2016 1
documento
la Información
Se realiza aprobación
Mediante memorando
NURC 3-2016-014406

Se modifican las
responsabilidades de
los funcionarios,
contratistas y terceros
Jefe Oficina de
Actualización del respecto a la gestión
Tecnologías de 09/12/2016 2
documento de activos de
la Información
información. Se
realiza aprobación
Mediante memorando
NURC 3-2016-022686

Se modifica todo el
contenido del Jefe Oficina de
Actualización del
documento para Tecnologías de 16/10/2018 3
documento
referenciar la la Información
metodología para el

12
 GOBIERNO Y GESTIÓN DE LA
PROCESO CÓDIGO GGGU02
INFORMACIÓN

GUÍA GESTIÓN DE ACTIVOS DE

VERSIÓN 3
INFORMACIÓN

registro de activos de
Información en la
entidad.

Solicitud de
modificación mediante
memorando 3-2018-
009854

Se realiza aprobación
mediante memorando
3-2018- 016946

13