Organismo Supervisor de

Ministerio
PERÚ las Contrataciones del
de Economía y Finanzas
Estado

Código: PE01.03.01.04 Versión: 01

Procedimiento: “Gestión de activos de

información”

Órgano o Unidad Orgánica Visto y Sello

Oficina de Tecnologías de la Información -
Elaborado por:
Oficial de Seguridad de la Información
Firmado digitalmente por ESPINOZA
SAUCEDO Juan Miguel FAU
20419026809 soft
Motivo: Soy el autor del documento
Fecha: 12.08.2021 17:10:52 -05:00

Firmado digitalmente por CHAVARRY

ARIAS Cesar Augusto FAU
Validado por: Oficina de Tecnologías de la Información 20419026809 soft
Motivo: Soy el autor del documento
Fecha: 13.08.2021 13:33:01 -05:00

Firmado digitalmente por SUAREZ

BAO Milagros Danitza FAU
20419026809 soft
Unidad de Organización y Modernización Motivo: Soy el autor del documento
Fecha: 13.08.2021 18:32:09 -05:00

Revisado por:
Firmado digitalmente por NAPURI
GUZMAN David Charles FAU
Oficina de Asesoría Jurídica 20419026809 hard
Motivo: Soy el autor del documento
Fecha: 16.08.2021 19:27:41 -05:00
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Control de Cambios

Versión Sección / Ítem Descripción del cambio:

01 ---- Nuevo

1
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

I. OBJETIVO

• Estandarizar el proceso para la identificación, clasificación y etiquetado de activos de

información del Organismo Supervisor de las Contrataciones del Estado.

II. ALCANCE

• El presente documento es de aplicación a los órganos y unidades orgánicas del

Organismo Supervisor de las Contrataciones del Estado.

III. RESPONSABLE
• La/el Jefa/e de la Oficina de Tecnologías de la Información, es responsable de velar el
cumplimiento del presente procedimiento
• La/el Oficial de Seguridad de la Información, es responsable de velar y cumplir el presente
procedimiento.

IV. BASE NORMATIVA

1. Decreto Supremo N° 021-2019-JUS que aprueba el Texto Único Ordenado de la Ley
Nº27806, Ley de Transparencia y Acceso a la Información Pública.
2. Ley Nº 29733, Ley de Protección de Datos Personales.
3. Decreto Supremo Nº 003-2013-JUS que aprueba el Reglamento de la Ley Nº 29733, Ley
de Protección de Datos Personales.
4. Resolución Ministerial N°004-2016-PCM, que aprueba el uso obligatorio de la Norma
Técnica Peruana “NTP ISO/IEC 27001:2014 Tecnología de la Información. Técnicas de
Seguridad. Sistemas de Gestión de Seguridad de la Información. Requisitos. 2a. Edición”,
en todas las entidades integrantes del Sistema Nacional de Informática.
5. Resolución N°059-2019-OSCE/SGE, que aprueba la Directiva 002-2019-0SCE/SGE
"Directiva para la Gestión por Procesos en el Organismo Supervisor de las Contrataciones
del Estado".
6. Resolución N°230-2018-OSCE/SGE, que aprueba la Directiva para regular la
implementación del lenguaje inclusivo a nivel escrito, oral y gráfico en el Organismo
Supervisor de las Contrataciones del Estado – OSCE.

Las referidas normas incluyen sus respectivas disposiciones ampliatorias, modificatorias y

conexas, de ser el caso.

V. SIGLAS Y DEFINICIONES

• Activo: Bien o derecho que la entidad posee.

• Activo de información: Es la información que por su importancia para las actividades

del OSCE, ha sido declarada como un bien que tiene un valor significativo. Además “Es
un activo que, como otros activos importantes del negocio, es esencial para las
actividades de la Entidad y, en consecuencia, necesita una protección adecuada”.

2
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

• Activo de Soporte de Información: Es el tipo de activo de información mediante el cual

se almacena o gestiona un activo primario de información. Está relacionado con
Hardware, Software, Red o comunicación, Personal, Sitio u Organización.

• Activo Primario de Información: Es el tipo de activo de información mediante el cual

se gestiona o almacenan un conjunto de datos y pueden ser de tipo digital, físico y
relacionado con los procesos del negocio.

• Confidencialidad: Reserva de la información que no puede ponerse a disposición o ser

revelada a personas, entidades o procesos no autorizados.

• Custodia/o del activo de información: Es el/la responsable de resguardar los activos

de Información que crea, utiliza y/o custodia, así como los medios en los cuales dichos
activos residen o se soportan, aplicando los controles de seguridad razonables con la
finalidad de minimizar los riesgos respecto a la confidencialidad, disponibilidad y/o
integridad de los mismos en el ámbito de sus funciones en OSCE y en el ámbito del
marco contractual en el caso de los proveedores de servicios.

• Disponibilidad: Característica de la información de estar accesible y utilizable cuando

lo requiera una entidad autorizada.

• Etiquetado: Identificador del tipo de calificación que se le da a la información.

• Integridad: Característica de la información relativa a su exactitud y completitud.

• Inventario de activo de información: Lista de todos aquellos recursos (físicos, de

información, software, documentos, servicios, personas, intangibles, etc.) dentro del
alcance del SGSI, que tengan valor para la organización y necesiten por tanto ser
protegidos de potenciales riesgos.

• Propietaria/o del activo de información: Es el/la servidor/a del OSCE que crea un
activo de información y por ende tiene la facultad de definir su clasificación y los derechos
de acceso que tienen los demás usuarios.

• SGD: Sistema de Gestión Documental del OSCE.

• SGSI: Sistema de Gestión de Seguridad de la Información.

VI. ENTRADAS Y SALIDAS DEL PROCEDIMIENTO

Proveedor/a Entrada
Requisito de Gestión de activo de
Norma ISO
información y etiquetado

Salida Usuaria/o

3
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Matriz de Inventario de activo de

Propietarias/os del activo información
Activo de información etiquetado

VII. ACTIVIDADES DEL PROCEDIMIENTO

Nº Actividad Área Responsable Registro

IDENTIFICAR
¿Activo identificado?
Si: Tipo de acción:
Modificar clasificación del activo: Ir a la actividad N° 5.
Actualizar registro del activo de información: Ir a la actividad N° 6.
No: Ir a la actividad N° 1.
Identificar activo de información
Órganos o
Identificar el activo de información Propietaria/o
1 unidades -
cada vez que se crea, adquiera o del activo
orgánicas
contrate.
CLASIFICAR , MODIFICAR, ACTUALIZAR Y REGISTRAR
Clasificar activo
El activo de información identificado se
clasifica de acuerdo a las tablas de los
Anexos siguientes: Anexo N° 03 –
Órganos o
“Clasificación del Activo de Propietaria/o
2 unidades -
información”, Anexo Nº 04 – orgánicas del activo
“Definición de tipos de información en
su forma digital” y Anexo N° 05 –
“Clasificación de uso del activo de
información”.
Registrar en el inventario de activo
de información
Registrar la información relacionada al
activo de la información en el Anexo N°
02 – “Matriz de Inventario de activos
de información”.
Matriz de
Órganos o
Propietaria/o Inventario de
3 Nota: Para determinar el Valor del unidades
del activo activos de
activo se toma como referencia los orgánicas
información
Anexos siguientes: Anexo Nº 06 –
“Niveles de Clasificación de
Confidencialidad”, Anexo Nº 07 –
“Niveles de Clasificación de
Integridad” y Anexo Nº 08 – “Niveles
de Clasificación de Disponibilidad.

4
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Solicitar revisión
Enviar, mediante correo electrónico
institucional, el Anexo N° 02 – “Matriz
Órganos o Correo
de Inventario de activos de unidades Propietaria/o electrónico
4
información” a la/el Oficial de del activo
orgánicas institucional
Seguridad de la Información para su
revisión correspondiente.
Ir a la actividad N° 8.
Modificar Clasificación
De acuerdo a la revisión de los
criterios de calificación se procede a la
Órganos o
modificación de la clasificación del uso Propietaria/o
5 unidades -
del activo de la información, en del activo
orgánicas
concordancia con el Anexo Nº 05 –
“Clasificación del Activo de
Información”.
Actualizar registro
Matriz de
Se procede a la actualización de la Órganos o
Propietaria/o Inventario de
6 información del activo en el registro unidades
del activo activos de
Anexo Nº 02 – “Matriz de Inventario de orgánicas
información
activos de información”.
Informar sobre la
actualización/modificación
Realizada la actualización de la
información del Anexo N° 02 – “Matriz
Órganos o Correo
de inventario de activos de Propietaria/o
7 unidades electrónico
información” o la modificación de la orgánicas del activo institucional
clasificación del activo de la
información, se informa a la/el Oficial
de Seguridad de la Información para
su revisión.
Revisar
Revisar la información consignada en
el Anexo Nº 02 – “Matriz de Inventario
de activos de información”.
La/el Oficial de
8 OTI Seguridad de -
¿Conforme?
la Información
Sí: ¿Requiere codificar?
Sí: Ir a la actividad N° 11.
No: Ir a la actividad N° 12.
No: Ir a la actividad N° 9
Remitir observación
La/el Oficial de Correo
Enviar, mediante correo electrónico
9 OTI Seguridad de electrónico
institucional, las observaciones o
comentarios resultantes de la revisión. la Información institucional

5
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Modificar registro
Revisar las observaciones o
comentarios y de proceder, realizar las Matriz de
Órganos o
respectivas modificaciones. unidades Propietaria/o Inventario de
10
del activo activos de
orgánicas
Nota: De ser el caso, se coordina información
reuniones con la/el Oficial de
Seguridad de la Información.
Codificar
Matriz de
Los activos de Información se La/el Oficial de
Inventario de
11 codifican con la estructura siguiente: OTI Seguridad de
activos de
AI-SIGLA_de_UUOO-Correlativo, por la Información
información
ejemplo:
AI-UAST-0001
Remitir registro validado
La/el Oficial de Correo
Remitir el Anexo Nº 02 – “Matriz de
12 OTI Seguridad de electrónico
Inventario de activo de información”
la Información institucional
codificado y validado.
Firmar y derivar el Registro de
Inventario de activo
Firma el registro Anexo Nº 02 – “Matriz
de Inventario de activo de
información”, codificado y validado, y
lo deriva a la/el Oficial de Seguridad de
Órganos o
la Información. Propietaria/o
13 unidades SGD
orgánicas del activo
Nota: El Anexo Nº 02 - “Matriz de
Inventario de activos de la
información” también es firmado por
el/la coordinador/a del órgano o unidad
orgánica y la/el Responsable del
proceso.
Consolidar y guardar
Consolida el Anexo Nº 02 - “Matriz de La/el Oficial de
Carpeta
14 Inventario de activos de información” OTI Seguridad de
compartida
firmado y lo guarda en la carpeta la Información
correspondiente.
Guardar registro
Guardar el Anexo Nº 02 - “Matriz de
Inventario de activos de información”
en la carpeta correspondiente. Órganos o
Propietaria/o Carpeta
15 unidades
del activo compartida
El activo de información, ¿Es una base orgánicas
de datos, repositorio o software?:
- Si: Fin del procedimiento.
- No: Ir a la actividad N° 16.

6
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

ETIQUETAR
Etiquetar activo
Etiquetar o modificar el etiquetado de
acuerdo al tipo de activo de
información y a la clasificación
otorgada, en concordancia con lo
establecido en el Anexo N° 09 –
Órganos o
“Reglas para el etiquetado del activo Propietaria/o Activo de
16 unidades
de información”. del activo Información
orgánicas
Nota: Clasificado y etiquetado el activo
de información, se debe cumplir con
las buenas prácticas dispuestas en el
Anexo Nº 10 – “Uso y manejo de
Activos de Información”.
Fin de procedimiento

VIII. DOCUMENTOS RELACIONADOS

Nº Documento
1

IX. PROCESO

Nombre Tipo

PE01.03.01 Determinar los procesos Estratégico

X. SEGUIMIENTO

La actualización de inventario de activos de información se realiza mínimo una vez al año y/o
cuando se incorporen nuevos activos de información en los procesos que forman parte del
alcance del SGSI.

XI. INDICADOR

Nombre Fórmula

______ _______

7
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

XII. ANEXOS

1. Diagrama de Flujo del Procedimiento.

2. Matriz de inventario de activos de información.

3. Clasificación del Activo de Información.

4. Definición de tipos de información en su forma digital.

5. Clasificación de uso del activo de información.

6. Niveles de Clasificación de Confidencialidad.

7. Niveles de Clasificación de Integridad.

8. Niveles de Clasificación de Disponibilidad.

9. Reglas para el etiquetado del activo de información.

10. Uso y manejo de activo de información.

XIII. OTROS

---

8
Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Anexo N° 01 – Diagrama de Flujo del Procedimiento

9
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Anexo N° 02 – Matriz de inventario de activos de información

MATRIZ DE INVENTARIO DE ACTIVOS DE INFORMACION

CODIGO: AI-SIGLA ÓRGANO/UUOO

Órgano / Unidad Orgánica: Ubicación Distrito / Provincia / Departamento

geográfica:

Nombre del Proceso: Período: AÑO

Fecha de
1) elaboración
2) (DD/MM/AAAA) :
Equipo de Trabajo: 3)
4)
5) Fecha de
actualización
(DD(MM/AAAA) :

1.5 VALOR DEL ACTIVO

UBICACIÓN 1.3 SUB (Anexos Nº s 6, 7 y 8)
TIPO DE
DESCRIPCIÓN DEL ACTIVO 1.2 TIPO ACTIVO
DE INFORMACIÓN 1.1 CLASE DE (“Subtipo” 1.4 Frecuencia de
NOMBRE DEL PROPIETARIA/O CUSTODIAS/OS USUARIAS/OS Backup RETENCIÓN
CÓDIGO DEL (Indicar: finalidad, uso, DE ACTIVO ACTIVO de Anexo CLASIFICACIÓN
N° ACTIVO DE DEL ACTIVO DE DEL ACTIVO DE DEL ACTIVO DE DETALLE DE UBICACIÓN (Indicar cantidad y (Indircar periodo
ACTIVO composición, otros aspectos (“Clases” de (“Tipo” de Nº 4) DEL USO
INFORMACIÓN INFORMACIÓN INFORMACIÓN INFORMACIÓN (Especificar tanto a nivel físico unidad de máximo)
o características que Física Anexo Nº 03) Anexo Nº Sólo aplica (Anexo Nº 5)
consideren importantes) como lógico, con la finalidad 3) para frecuencia)
(F)
de tener la ubicación más activos C I D TOTAL TASACIÓN
Lógica
exacta posible que sirva para digitales
(L)
el análisis de riesgos y
criticidad)

01

02

03

Propietaria/o del activo de

Responsable del Proceso Coordinador/a del Órgano o Unidad Orgánica Información

10
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Anexo N° 03 - Clasificación del Activo de Información

CLASES TIPO NOMENCLATURA EJEMPLO

Proceso y actividades Proceso de contrataciones a
PN
del negocio través del SEACE
ACTIVOS Files médicos, files de personal
Información física IF
PRIMARIOS
Base de datos en SQL, Hoja de
Información digital ID
cálculo, PDF
Hardware HW Computador, laptop, servidor
Motor de base de datos,
repositorios (carpetas
Software SW
compartidas, google drive, one
drive, …)
ACTIVOS Red o comunicación CO Firewall, Switch, Router
DE Alta Dirección, usuarias/os,
SOPORTE Personal PE desarrolladores, servidoras/es
públicos
Ubicación (Ambientes externos,
instalaciones) y servicios
Sitio SI
(Comunicaciones y servicios
públicos)
Organización OR Autoridades, proveedoras/es

Anexo N° 04 - Definición de tipos de información en su forma digital

TIPO SUB TIPO DESCRIPCIÓN

Es un conglomerado masivo y desorganizado de varios tipos

de información que tienen valor significativo cuando son
No
identificados y almacenados de manera organizada.
estructurada
Ej.: Archivo de procesador de texto, Hoja de cálculo, PDF, etc.
Es la información que suele ubicarse o encontrarse en una
Estructurada base de datos.
Ej. : Base de Datos en SQL.
INFORMACION
Se refiere a la información que tiene algún tipo de estructura
DIGITAL
implícita, pero no tan regular como para poder ser considerada
Semi
información digital estructurada.
estructurada
Ej.: Archivos XML
Se refiere a datos que describen algunos datos adicionales de
la información como tal o grupos de datos que describen el
Metadata contenido informativo de un objeto.

Ej. Metadata de un archivo Word.

11
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Anexo N° 05 - Clasificación de uso del activo de información

DESCRIPCIÓN
Tipo de
De acuerdo al TUO de la Ley de Transparencia y Acceso a la Información Pública (Ley
Clasificación
27806) y Ley de Transparencia y Acceso a la Información Pública (Ley 27927)
En concordancia con lo establecido en el artículo “15-B Excepciones al ejercicio del derecho: Información confidencial” de
la Ley 27806, se considera información confidencial a:

1. La información que contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y
consultivo previo a la toma de una decisión de gobierno, salvo que dicha información sea pública. Una vez tomada la decisión,
esta excepción cesa si la entidad de la Administración Pública opta por hacer referencia en forma expresa a esos consejos,
recomendaciones u opiniones.
2. La información protegida por el secreto bancario, tributario, comercial, industrial, tecnológico y bursátil que están regulados,
unos por el inciso 5 del artículo 2 de la Constitución, y los demás por la legislación pertinente.
3. La información vinculada a investigaciones en trámite referidas al ejercicio de la potestad sancionadora de la Administración
Pública, en cuyo caso la exclusión del acceso termina cuando la resolución que pone fin al procedimiento queda consentida o
Confidencial cuando transcurren más de seis (6) meses desde que se inició el procedimiento administrativo sancionador, sin que se haya
dictado resolución final.
4. La información preparada u obtenida por asesores jurídicos o abogados de las entidades de la Administración Pública cuya
publicidad pudiera revelar la estrategia a adoptarse en la tramitación o defensa en un proceso administrativo o judicial, o de
cualquier tipo de información protegida por el secreto profesional que debe guardar el abogado respecto de su asesorado. Esta
excepción termina al concluir el proceso.
5. La información referida a los datos personales cuya publicidad constituya una invasión de la intimidad personal y familiar. La
información referida a la salud personal, se considera comprendida dentro de la intimidad personal. En este caso, sólo el juez
puede ordenar la publicación sin perjuicio de lo establecido en el inciso 5 del artículo 2 de la Constitución Política del Es tado.
6. Aquellas materias cuyo acceso esté expresamente exceptuado por la Constitución o por una Ley aprobada por el Congreso
de la República.

Toda información que posee el OSCE se presume pública, salvo las excepciones expresamente previstas en el artículo 15 de
Público la Ley 27806

Anexo N° 06 - Niveles de Clasificación de Confidencialidad

Valor Clasificación Definición Consecuencia

La divulgación no autorizada produce:

4 Muy alta
Cuando la pérdida o falla de un determinado activo
- Pérdida de la ventaja competitiva.
afecta la divulgación o revelamiento no autorizado de
- Uso malicioso en contra del negocio.
la información, impactando irreversiblemente la
- Pérdidas financieras importantes que no pueden ser
operatividad, competitividad, el cumplimiento legal,
absorbidas por la entidad.
rentabilidad o imagen del OSCE.
- Demandas legales que dañan la imagen y confianza pública del
negocio.

La divulgación no autorizada produce:

3 Alta
Cuando la pérdida o falla de un determinado activo
afecta la divulgación o revelamiento no autorizado de
- Uso malicioso en contra del negocio.
la información, impactando gravemente la
- Pérdidas financieras que no pueden ser absorbidas por la
operatividad, competitividad, el cumplimiento legal,
entidad.
rentabilidad o imagen del OSCE.

Cuando la pérdida o falla de un determinado activo La divulgación no autorizada produce:

2 Media
1 Baja
afecta la divulgación o revelamiento no autorizado de - Pérdida potencial de la ventaja competitiva.
la información, impactando parcialmente la - Uso malicioso en contra de la imagen o situaciones puntuales.
operatividad, competitividad, el cumplimiento legal, - Pérdidas financieras que pueden ser absorbidas por la entidad.
rentabilidad o imagen del OSCE. - No se producen demandas legales.
Cuando la pérdida o falla de un determinado activo
afecta la divulgación o revelamiento no autorizado de
la información, no impactando la operatividad, La divulgación no autorizada no representa perjuicio para la entidad
competitividad, el cumplimiento legal, rentabilidad o
imagen del OSCE.

12
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Anexo N°07 - Niveles de Clasificación de Integridad

Valor Clasificación Criterio Consecuencia

La falta de integridad produce daños de gran magnitud los que se pueden expresar
Cuando la pérdida o falla de un
como:
determinado activo afecta la exactitud y
- Pérdidas económicas importantes (pérdida, incumplimiento de metas).
completitud de la información,
- Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de
4 Muy alta impactando irreversiblemente la
tiempo más allá de lo estimado como manejable).
operatividad, competitividad, el
- Daño de la imagen de la entidad (daño a nivel nacional e internacional que no se
cumplimiento legal, rentabilidad o
puede reparar en el corto plazo).
imagen del OSCE.
- Pérdida de la confianza de las/los usuarias/os.

Cuando la pérdida o falla de un La falta de integridad produce daños de magnitud los que se pueden expresar como:
determinado activo afecta la exactitud y - Pérdidas económicas (pérdida, incumplimiento de metas).
completitud de la información, - Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de
3 Alta impactando gravemente la tiempo más allá de lo estimado como manejable).
operatividad, competitividad, el - Daño de la imagen de la entidad (daño a nivel nacional que no se puede reparar en
cumplimiento legal, rentabilidad o el corto plazo).
imagen del OSCE. - Pérdida de la confianza de las/los usuarias/os.

Cuando la pérdida o falla de un La falta de integridad produce daños de mediana magnitud los que se pueden expresar
determinado activo afecta la exactitud y como:
completitud de la información, - Pérdidas económicas (pérdida, incumplimiento de metas).
impactando parcialmente la - Falla de los procesos informáticos (incapacidad de ejecutarlos por un periodo de
2 Media
operatividad, competitividad, el tiempo que está en el límite superior de lo estimado como manejable).
cumplimiento legal, rentabilidad o - Daño de la imagen de la empresa (daño a nivel nacional, se puede reparar en el
imagen del OSCE. corto plazo).
- Pérdida de la confianza de las/los usuarias/os.

Cuando la pérdida o falla de un

determinado activo afecta la exactitud y
completitud de la información, no
1 Baja impactando la operatividad,
competitividad, el cumplimiento legal,
rentabilidad o imagen del OSCE.
La falta de integridad produce daños de pequeña magnitud los que se pueden expresar
como:
- Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de
tiempo, pero este es manejable).
- Pérdida de la confianza de las/los usuarias/os.

Anexo N° 08 - Niveles de Clasificación de Disponibilidad

Valor Clasificación Definición Consecuencia

4 Muy alta
Cuando la pérdida o falla de un determinado
activo afecta la accesibilidad y disposición de la
información, impactando irreversiblemente la
operatividad, competitividad, el cumplimiento
legal, rentabilidad o imagen del OSCE.
La falta de disponibilidad por períodos prolongados produce:
- Incumplimiento a muchos de los acuerdos de nivel de servicio. La transición entre
el recurso principal y el alternativo no debe impactar el acuerdo de servicio.
- Perjuicios legales que afectan la imagen de la entidad.
- Perjuicios económicos que no pueden ser absorbidos por la entidad.

3 Alta
Cuando la pérdida o falla de un determinado
activo afecta la accesibilidad y disposición de la
información, impactando gravemente la
operatividad, competitividad, el cumplimiento
legal, rentabilidad o imagen del OSCE.
La falta de disponibilidad por períodos prolongados produce:
- Incumplimiento a algunos de los acuerdos de nivel de servicio. La transición entre
el recurso principal y el alternativo no debe impactar el acuerdo de servicio.
- Perjuicios económicos que pueden ser absorbidos por la entidad con cierta
dificultad.

Cuando la pérdida o falla de un determinado La falta de disponibilidad produce:

2 Media
1 Baja
activo afecta la accesibilidad y disposición de la
información, impactando parcialmente la
operatividad, competitividad, el cumplimiento
legal, rentabilidad o imagen del OSCE.
Cuando la pérdida o falla de un determinado
activo afecta la accesibilidad y disposición de la
información, no impactando la operatividad,
competitividad, el cumplimiento legal, rentabilidad
o imagen del OSCE.
- Que los niveles de servicio acordados se puedan ver afectados en la transición
entre el medio principal y el alternativo.
- Perjuicios legales que no comprometen la imagen de la entidad.
- Perjuicios económicos que pueden ser absorbidos por la entidad.
La falta de disponibilidad produce:
- Que los niveles de servicio acordados para los procesos de negocio importantes,
no se ven afectados.
- Problemas administrativos y operativos no significativos.
- No hay perjuicios legales.

13
 Procedimiento: Gestión de activos de información

Código: PE01.03.04.04 Versión: 01

Anexo N° 09 -Reglas para el etiquetado del activo de información

ACTIVO DIGITAL
TIPO DE
(No aplicable para bases de datos, ACTIVO FÍSICO
CLASIFICACIÓN
repositorios y software)
Confidencial - Previa evaluación de la/el Propietaria/o del Activo de - Etiquetar con autoadhesivo, señalando el
Información y el área técnica que custodia el activo. rótulo “CONFIDENCIAL” para los equipos
- Etiquetar en la parte central del encabezado, con el plataforma tecnológica.
rótulo “CONFIDENCIAL”, tipo de letra y tamaño: - Etiquetar con sello “CONFIDENCIAL” para
“Arial 11” los documentos físicos.
- En la parte final del nombre del archivo consignar la
palabra “CONFIDENCIAL”
- Ejemplo: Activo_Información_CONFIDENCIAL.xls
Pública No requiere etiquetado No requiere etiquetado

Anexo N° 10 - Uso y manejo de activo de información

Medio Pública Conf idencial

Ninguna restricción para el acceso a lectura.
Control de acceso El acceso de actualización o eliminación debe Autorizado por la/el propietaria/o del Activo de Información.
ser autorizado por la/el propietaria/o del
activo de información
Autenticación Acceso anónimo permitido. Autenticación de factor único o múltiple de ser el caso.

Rastros de Se deben registrar y monitorear periódicamente a fin de mantener

No aplica
Auditoría trazabilidad.

Divulgación interna No requiere autorización Autorizado por la/el propietaria/o del Activo de Información.

Divulgación
externa No requiere autorización Autorizado por la/el propietaria/o del Activo de Información.

Evitar leer, discutir en público, o por teléfono (mensajes de texto o

Vía voz Ninguna restricción voz)

Etiquetar el activo en concordancia con lo indicado en el Anexo Nº 11

Correo electrónico Ninguna restricción Activar el modo confidencial del servicio de correo electrónico
institucional.
Courier Ninguna restricción Etiquetar el activo en concordancia con lo indicado en el Anexo Nº 11

Transporte a nivel
Ninguna restricción Transportado en medio cerrado y nunca dejarlo sin atención.
nacional

Transporte Transportado en medio cerrado y nunca dejarlo sin atención.

Ninguna restricción
transfronterizo Asegurar el cumplimiento de leyes y regulaciones

Copia, impresión Ninguna restricción Autorizado por la/el propietaria/o del Activo de Información.

Almacenamiento Ninguna restricción Autorizado por la/el propietaria/o del Activo de Información.
Autorizado por la/el propietaria/o del Activo de Información.
Destrucción Ninguna restricción Si es documento digital, utilizar mecanismos de borrado seguro
Si es documento físico, utilizar trituradora de papel.
Copia en papel Ninguna restricción Autorizado por la/el propietaria/o del Activo de Información.

16