Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ministerio
PERÚ las Contrataciones del
de Economía y Finanzas
Estado
Revisado por:
Firmado digitalmente por NAPURI
GUZMAN David Charles FAU
Oficina de Asesoría Jurídica 20419026809 hard
Motivo: Soy el autor del documento
Fecha: 16.08.2021 19:27:41 -05:00
Procedimiento: Gestión de activos de información
Control de Cambios
1
Procedimiento: Gestión de activos de información
I. OBJETIVO
II. ALCANCE
III. RESPONSABLE
• La/el Jefa/e de la Oficina de Tecnologías de la Información, es responsable de velar el
cumplimiento del presente procedimiento
• La/el Oficial de Seguridad de la Información, es responsable de velar y cumplir el presente
procedimiento.
V. SIGLAS Y DEFINICIONES
2
Procedimiento: Gestión de activos de información
• Propietaria/o del activo de información: Es el/la servidor/a del OSCE que crea un
activo de información y por ende tiene la facultad de definir su clasificación y los derechos
de acceso que tienen los demás usuarios.
Proveedor/a Entrada
Requisito de Gestión de activo de
Norma ISO
información y etiquetado
Salida Usuaria/o
3
Procedimiento: Gestión de activos de información
4
Procedimiento: Gestión de activos de información
Solicitar revisión
Enviar, mediante correo electrónico
institucional, el Anexo N° 02 – “Matriz
Órganos o Correo
de Inventario de activos de unidades Propietaria/o electrónico
4
información” a la/el Oficial de del activo
orgánicas institucional
Seguridad de la Información para su
revisión correspondiente.
Ir a la actividad N° 8.
Modificar Clasificación
De acuerdo a la revisión de los
criterios de calificación se procede a la
Órganos o
modificación de la clasificación del uso Propietaria/o
5 unidades -
del activo de la información, en del activo
orgánicas
concordancia con el Anexo Nº 05 –
“Clasificación del Activo de
Información”.
Actualizar registro
Matriz de
Se procede a la actualización de la Órganos o
Propietaria/o Inventario de
6 información del activo en el registro unidades
del activo activos de
Anexo Nº 02 – “Matriz de Inventario de orgánicas
información
activos de información”.
Informar sobre la
actualización/modificación
Realizada la actualización de la
información del Anexo N° 02 – “Matriz
Órganos o Correo
de inventario de activos de Propietaria/o
7 unidades electrónico
información” o la modificación de la orgánicas del activo institucional
clasificación del activo de la
información, se informa a la/el Oficial
de Seguridad de la Información para
su revisión.
Revisar
Revisar la información consignada en
el Anexo Nº 02 – “Matriz de Inventario
de activos de información”.
La/el Oficial de
8 OTI Seguridad de -
¿Conforme?
la Información
Sí: ¿Requiere codificar?
Sí: Ir a la actividad N° 11.
No: Ir a la actividad N° 12.
No: Ir a la actividad N° 9
Remitir observación
La/el Oficial de Correo
Enviar, mediante correo electrónico
9 OTI Seguridad de electrónico
institucional, las observaciones o
comentarios resultantes de la revisión. la Información institucional
5
Procedimiento: Gestión de activos de información
Modificar registro
Revisar las observaciones o
comentarios y de proceder, realizar las Matriz de
Órganos o
respectivas modificaciones. unidades Propietaria/o Inventario de
10
del activo activos de
orgánicas
Nota: De ser el caso, se coordina información
reuniones con la/el Oficial de
Seguridad de la Información.
Codificar
Matriz de
Los activos de Información se La/el Oficial de
Inventario de
11 codifican con la estructura siguiente: OTI Seguridad de
activos de
AI-SIGLA_de_UUOO-Correlativo, por la Información
información
ejemplo:
AI-UAST-0001
Remitir registro validado
La/el Oficial de Correo
Remitir el Anexo Nº 02 – “Matriz de
12 OTI Seguridad de electrónico
Inventario de activo de información”
la Información institucional
codificado y validado.
Firmar y derivar el Registro de
Inventario de activo
Firma el registro Anexo Nº 02 – “Matriz
de Inventario de activo de
información”, codificado y validado, y
lo deriva a la/el Oficial de Seguridad de
Órganos o
la Información. Propietaria/o
13 unidades SGD
orgánicas del activo
Nota: El Anexo Nº 02 - “Matriz de
Inventario de activos de la
información” también es firmado por
el/la coordinador/a del órgano o unidad
orgánica y la/el Responsable del
proceso.
Consolidar y guardar
Consolida el Anexo Nº 02 - “Matriz de La/el Oficial de
Carpeta
14 Inventario de activos de información” OTI Seguridad de
compartida
firmado y lo guarda en la carpeta la Información
correspondiente.
Guardar registro
Guardar el Anexo Nº 02 - “Matriz de
Inventario de activos de información”
en la carpeta correspondiente. Órganos o
Propietaria/o Carpeta
15 unidades
del activo compartida
El activo de información, ¿Es una base orgánicas
de datos, repositorio o software?:
- Si: Fin del procedimiento.
- No: Ir a la actividad N° 16.
6
Procedimiento: Gestión de activos de información
ETIQUETAR
Etiquetar activo
Etiquetar o modificar el etiquetado de
acuerdo al tipo de activo de
información y a la clasificación
otorgada, en concordancia con lo
establecido en el Anexo N° 09 –
Órganos o
“Reglas para el etiquetado del activo Propietaria/o Activo de
16 unidades
de información”. del activo Información
orgánicas
Nota: Clasificado y etiquetado el activo
de información, se debe cumplir con
las buenas prácticas dispuestas en el
Anexo Nº 10 – “Uso y manejo de
Activos de Información”.
Fin de procedimiento
Nº Documento
1
IX. PROCESO
Nombre Tipo
X. SEGUIMIENTO
La actualización de inventario de activos de información se realiza mínimo una vez al año y/o
cuando se incorporen nuevos activos de información en los procesos que forman parte del
alcance del SGSI.
XI. INDICADOR
Nombre Fórmula
______ _______
7
Procedimiento: Gestión de activos de información
XII. ANEXOS
XIII. OTROS
---
8
Procedimiento: Gestión de activos de información
9
Procedimiento: Gestión de activos de información
Fecha de
1) elaboración
2) (DD/MM/AAAA) :
Equipo de Trabajo: 3)
4)
5) Fecha de
actualización
(DD(MM/AAAA) :
01
02
03
10
Procedimiento: Gestión de activos de información
11
Procedimiento: Gestión de activos de información
DESCRIPCIÓN
Tipo de
De acuerdo al TUO de la Ley de Transparencia y Acceso a la Información Pública (Ley
Clasificación
27806) y Ley de Transparencia y Acceso a la Información Pública (Ley 27927)
En concordancia con lo establecido en el artículo “15-B Excepciones al ejercicio del derecho: Información confidencial” de
la Ley 27806, se considera información confidencial a:
1. La información que contenga consejos, recomendaciones u opiniones producidas como parte del proceso deliberativo y
consultivo previo a la toma de una decisión de gobierno, salvo que dicha información sea pública. Una vez tomada la decisión,
esta excepción cesa si la entidad de la Administración Pública opta por hacer referencia en forma expresa a esos consejos,
recomendaciones u opiniones.
2. La información protegida por el secreto bancario, tributario, comercial, industrial, tecnológico y bursátil que están regulados,
unos por el inciso 5 del artículo 2 de la Constitución, y los demás por la legislación pertinente.
3. La información vinculada a investigaciones en trámite referidas al ejercicio de la potestad sancionadora de la Administración
Pública, en cuyo caso la exclusión del acceso termina cuando la resolución que pone fin al procedimiento queda consentida o
Confidencial cuando transcurren más de seis (6) meses desde que se inició el procedimiento administrativo sancionador, sin que se haya
dictado resolución final.
4. La información preparada u obtenida por asesores jurídicos o abogados de las entidades de la Administración Pública cuya
publicidad pudiera revelar la estrategia a adoptarse en la tramitación o defensa en un proceso administrativo o judicial, o de
cualquier tipo de información protegida por el secreto profesional que debe guardar el abogado respecto de su asesorado. Esta
excepción termina al concluir el proceso.
5. La información referida a los datos personales cuya publicidad constituya una invasión de la intimidad personal y familiar. La
información referida a la salud personal, se considera comprendida dentro de la intimidad personal. En este caso, sólo el juez
puede ordenar la publicación sin perjuicio de lo establecido en el inciso 5 del artículo 2 de la Constitución Política del Es tado.
6. Aquellas materias cuyo acceso esté expresamente exceptuado por la Constitución o por una Ley aprobada por el Congreso
de la República.
Toda información que posee el OSCE se presume pública, salvo las excepciones expresamente previstas en el artículo 15 de
Público la Ley 27806
12
Procedimiento: Gestión de activos de información
La falta de integridad produce daños de gran magnitud los que se pueden expresar
Cuando la pérdida o falla de un
como:
determinado activo afecta la exactitud y
- Pérdidas económicas importantes (pérdida, incumplimiento de metas).
completitud de la información,
- Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de
4 Muy alta impactando irreversiblemente la
tiempo más allá de lo estimado como manejable).
operatividad, competitividad, el
- Daño de la imagen de la entidad (daño a nivel nacional e internacional que no se
cumplimiento legal, rentabilidad o
puede reparar en el corto plazo).
imagen del OSCE.
- Pérdida de la confianza de las/los usuarias/os.
Cuando la pérdida o falla de un La falta de integridad produce daños de magnitud los que se pueden expresar como:
determinado activo afecta la exactitud y - Pérdidas económicas (pérdida, incumplimiento de metas).
completitud de la información, - Falla de los procesos informáticos (incapacidad de ejecutarlos por un período de
3 Alta impactando gravemente la tiempo más allá de lo estimado como manejable).
operatividad, competitividad, el - Daño de la imagen de la entidad (daño a nivel nacional que no se puede reparar en
cumplimiento legal, rentabilidad o el corto plazo).
imagen del OSCE. - Pérdida de la confianza de las/los usuarias/os.
Cuando la pérdida o falla de un La falta de integridad produce daños de mediana magnitud los que se pueden expresar
determinado activo afecta la exactitud y como:
completitud de la información, - Pérdidas económicas (pérdida, incumplimiento de metas).
impactando parcialmente la - Falla de los procesos informáticos (incapacidad de ejecutarlos por un periodo de
2 Media
operatividad, competitividad, el tiempo que está en el límite superior de lo estimado como manejable).
cumplimiento legal, rentabilidad o - Daño de la imagen de la empresa (daño a nivel nacional, se puede reparar en el
imagen del OSCE. corto plazo).
- Pérdida de la confianza de las/los usuarias/os.
Cuando la pérdida o falla de un determinado La falta de disponibilidad por períodos prolongados produce:
activo afecta la accesibilidad y disposición de la - Incumplimiento a muchos de los acuerdos de nivel de servicio. La transición entre
4 Muy alta información, impactando irreversiblemente la el recurso principal y el alternativo no debe impactar el acuerdo de servicio.
operatividad, competitividad, el cumplimiento - Perjuicios legales que afectan la imagen de la entidad.
legal, rentabilidad o imagen del OSCE. - Perjuicios económicos que no pueden ser absorbidos por la entidad.
Cuando la pérdida o falla de un determinado La falta de disponibilidad por períodos prolongados produce:
activo afecta la accesibilidad y disposición de la - Incumplimiento a algunos de los acuerdos de nivel de servicio. La transición entre
3 Alta información, impactando gravemente la el recurso principal y el alternativo no debe impactar el acuerdo de servicio.
operatividad, competitividad, el cumplimiento - Perjuicios económicos que pueden ser absorbidos por la entidad con cierta
legal, rentabilidad o imagen del OSCE. dificultad.
13
Procedimiento: Gestión de activos de información
ACTIVO DIGITAL
TIPO DE
(No aplicable para bases de datos, ACTIVO FÍSICO
CLASIFICACIÓN
repositorios y software)
Confidencial - Previa evaluación de la/el Propietaria/o del Activo de - Etiquetar con autoadhesivo, señalando el
Información y el área técnica que custodia el activo. rótulo “CONFIDENCIAL” para los equipos
- Etiquetar en la parte central del encabezado, con el plataforma tecnológica.
rótulo “CONFIDENCIAL”, tipo de letra y tamaño: - Etiquetar con sello “CONFIDENCIAL” para
“Arial 11” los documentos físicos.
- En la parte final del nombre del archivo consignar la
palabra “CONFIDENCIAL”
- Ejemplo: Activo_Información_CONFIDENCIAL.xls
Pública No requiere etiquetado No requiere etiquetado
Divulgación interna No requiere autorización Autorizado por la/el propietaria/o del Activo de Información.
Divulgación
externa No requiere autorización Autorizado por la/el propietaria/o del Activo de Información.
Transporte a nivel
Ninguna restricción Transportado en medio cerrado y nunca dejarlo sin atención.
nacional
Copia, impresión Ninguna restricción Autorizado por la/el propietaria/o del Activo de Información.
Almacenamiento Ninguna restricción Autorizado por la/el propietaria/o del Activo de Información.
Autorizado por la/el propietaria/o del Activo de Información.
Destrucción Ninguna restricción Si es documento digital, utilizar mecanismos de borrado seguro
Si es documento físico, utilizar trituradora de papel.
Copia en papel Ninguna restricción Autorizado por la/el propietaria/o del Activo de Información.
16