Plantilla de clasificación de datos
1. Información General
ORGANIZACIÓN
FECHA DE ADOPTACIÓN
2. Niveles de clasificación de datos
Definición
Justificación
Ejemplos
Consecuencia de la divulgación pública
Ejemplos de controles de seguridad
3. Funciones y responsabilidades
Custodio de datos
Propietario de los datos
Oficial de seguridad de la información
Oficina Legal y/o Privacidad (Oficial de
Información Pública)
Gerentes
Usuarios
PLANTILLA DE CLASIFICACIÓN DE DATOS
blanco blanco blanco blanco
[Inserte el nombre de la organización aquí]
[Insertar aquí la fecha de adopción]
Público Sensible Confidencial Regulado
Información que se pone a disposición del público de forma libre y sin Información que podría estar sujeta a divulgación en virtud de solicitudes de Información que normalmente está exceptuada de la Ley de Información Información controlada por una regulación estatal o federal u otro acuerdo de
reservas. registros abiertos, pero que debe controlarse para proteger a terceros. Pública terceros
No es necesario rastrear ni monitorear el acceso a cierta información, como Alguna información, aunque esté disponible para el público, puede contener Las agencias estatales y los institutos de educación superior recopilan y Muchas agencias e institutos de educación superior interactúan con el
informes publicados, noticias de agencias y otros materiales públicos información sensible. Dichos datos deben ser examinados/verificados antes mantienen cierta información que está protegida contra la divulgación, ya sea gobierno federal o realizan servicios que están regulados por normas y leyes
relacionados. En tales circunstancias, es más eficiente mantener la de su publicación. Al proteger el acceso a los datos y exigir una solicitud de mediante una excepción codificada a la Ley de Información Pública o federales. En tales casos, la información mantenida por esas agencias debe
información disponible para el acceso de los ciudadanos sin requerir la registros abiertos, la organización garantiza que se proporcionen al mediante opiniones o decisiones de la oficina de Información Pública del cumplir con los controles federales.
intervención de empleados estatales. solicitante los datos más precisos y relevantes sin revelar accidentalmente Procurador General. Dicha información también puede estar sujeta a
datos confidenciales. requisitos de notificación de incumplimiento según la ley de Texas.
Información que se publica en el sitio web público y no requiere Datos que cumplen con la definición de PII según el Código de Comercio y Datos que han sido exceptuados de la divulgación pública según el Código Datos que cumplen con la definición de SPI según el Código de Comercio y
autenticación. Negocios de Texas §521.002(a)(1) y §521.002(a)(2) de Gobierno de Texas Cap. 552 o datos, cuya divulgación pública, puede Negocios de Texas 521.002(a)(1) y 521.002(a)(2): Seguridad HIPAA (45
• Publicaciones de la agencia • Registros de empleados tener consecuencias adversas para la organización CFR Partes 164), PCI DSS v2.0, FTI, FICA, impuestos información
• Comunicados de prensa • Información sobre el salario bruto • Comunicaciones abogado-cliente
• Publicaciones web públicas • Informes de vulnerabilidad informática
• Borrador de comunicaciones protegido
• Información salarial neta
Sin consecuencias adversas • Pérdida de reputación Posibles sanciones penales o civiles Investigación federal o pérdida del derecho a cobrar ingresos
• Pérdida de confianza
Público Sensible Confidencial Regulado
Garantizar que los sistemas admitan controles de acceso que apliquen Garantizar que los sistemas admitan controles de acceso que apliquen Garantizar que los sistemas admitan controles de acceso que apliquen Garantizar que los sistemas admitan controles de acceso que apliquen
la clasificación de datos. la clasificación de datos. la clasificación de datos. la clasificación de datos.
• Identificar el nivel de clasificación de los datos. • Identificar el nivel de clasificación de los datos. • Identificar el nivel de clasificación de los datos. • Identificar el nivel de clasificación de los datos.
• Revisar los registros de auditoría • Revisar los registros de auditoría • Revisar los registros de auditoría • Revisar los registros de auditoría
• Desarrollar y mantener políticas, procedimientos y directrices de • Desarrollar y mantener políticas, procedimientos y directrices de • Desarrollar y mantener políticas, procedimientos y directrices de • Desarrollar y mantener políticas, procedimientos y directrices de
seguridad de la información. seguridad de la información. seguridad de la información. seguridad de la información.
• Proporcionar orientación sobre clasificaciones de datos. • Proporcionar orientación sobre clasificaciones de datos. • Proporcionar orientación sobre clasificaciones de datos. • Proporcionar orientación sobre clasificaciones de datos.
• Desarrollar y mantener políticas, procedimientos y directrices de • Desarrollar y mantener políticas, procedimientos y directrices de • Desarrollar y mantener políticas, procedimientos y directrices de • Desarrollar y mantener políticas, procedimientos y directrices de
seguridad de la información. seguridad de la información. seguridad de la información. seguridad de la información.
• Proporcionar orientación sobre clasificaciones de datos. • Proporcionar orientación sobre clasificaciones de datos. • Proporcionar orientación sobre clasificaciones de datos. • Proporcionar orientación sobre clasificaciones de datos.
n/A • Asegúrese de que los usuarios conozcan los requisitos de • Asegúrese de que los usuarios conozcan los requisitos de • Asegúrese de que los usuarios conozcan los requisitos de
clasificación de datos. clasificación de datos. clasificación de datos.
• Supervisar las actividades de los usuarios para garantizar el • Supervisar las actividades de los usuarios para garantizar el • Supervisar las actividades de los usuarios para garantizar el
cumplimiento. cumplimiento. cumplimiento.
n/A • Identificar y etiquetar, cuando corresponda, los datos. • Identificar y etiquetar, cuando corresponda, los datos. • Identificar y etiquetar, cuando corresponda, los datos.
• Eliminar adecuadamente los datos • Eliminar adecuadamente los datos • Eliminar adecuadamente los datos
PÁGINA1 DE 5
4. Controles de datos Público Sensible Confidencial Regulado
Calificación n/A • Todos los datos sensibles deberán marcarse como tales. • Todos los datos sensibles deberán marcarse como tales. • Todos los datos sensibles deberán marcarse como tales.
• Se deben proporcionar instrucciones de manipulación especiales. • Se deben proporcionar instrucciones de manipulación especiales. • Se deben proporcionar instrucciones de manipulación especiales.
• Cada página si son hojas sueltas • Cada página si son hojas sueltas
• Portada y contraportada, y página de título si está encuadernada. • Portada y contraportada, y página de título si está encuadernada.

Manejo n/A n/A Los datos confidenciales sólo se facilitarán a aquellas personas que Los datos confidenciales sólo se facilitarán a aquellas personas que
tengan autorización y necesidad de conocerlos. tengan autorización y necesidad de conocerlos.
Duplicación n/A Información que se duplicará únicamente con fines comerciales o en Los empleados pueden duplicar documentos confidenciales con la Los empleados pueden duplicar documentos confidenciales con la
respuesta a una solicitud de "Registros abiertos" autorización de los propietarios de los datos. autorización de los propietarios de los datos.
Envío n/A n/A n/A • Se requiere confirmación de recibo
• Puede requerir entrega con doble paquete. El exterior del paquete no
está marcado. La documentación interior está debidamente marcada.

Disposición • Disposición basada en los requisitos del cronograma de retención de • Disposición basada en los requisitos del cronograma de retención de • Disposición basada en los requisitos del cronograma de retención de • Disposición basada en los requisitos del cronograma de retención de
registros. registros. registros. registros.
• Se requiere destrucción física (por ejemplo, trituración) • Se requiere destrucción física (por ejemplo, trituración)
• La destrucción debe ser verificada por personal de la agencia. • La destrucción debe ser verificada por personal de la agencia.

Almacenamiento de copias impresas • Almacenar una "copia maestra" de conformidad con el programa de • Almacene una "copia maestra" de conformidad con el programa de • Almacene una "copia maestra" de conformidad con el programa de • Almacene una "copia maestra" de conformidad con el programa de
conservación de registros. conservación de registros. conservación de registros. conservación de registros.
• Los documentos deben guardarse bajo llave cuando no estén en uso • Los documentos deben guardarse bajo llave cuando no estén en uso • Los documentos deben guardarse bajo llave cuando no estén en uso
(p. ej., en un escritorio, gabinete u oficina cerrados con llave) (p. ej., en un escritorio, gabinete u oficina cerrados con llave) (p. ej., en un escritorio, gabinete u oficina cerrados con llave)

Almacenamiento en medios fijos n/A • El acceso está controlado por contraseña • El acceso está controlado por contraseña • El acceso está controlado por contraseña
• Se requiere cifrado • Se requiere cifrado

Almacenamiento en medios extraíbles
5. Controles de acceso
Concesión de derechos de acceso
Acceso de lectura
Acceso a actualizaciones
n/A Se recomienda cifrado
Público Sensible
Sin restricciones Solo propietario de datos
• El propietario de la información define los permisos por usuario/rol • El propietario de la información define los permisos por usuario/rol
• El propietario de la información define los permisos por usuario/rol • El propietario de la información define los permisos por usuario/rol
• Controles (por ejemplo, separación de funciones) necesarios para
procesos y transacciones que son susceptibles a actividades
fraudulentas u otras actividades no autorizadas.
Se requiere cifrado.
Confidencial
Solo propietario de datos
• El propietario de la información define los permisos por usuario/rol
• Acceso altamente restringido o controlado
• El propietario de la información define los permisos por usuario/rol
• Controles (por ejemplo, separación de funciones) necesarios para
procesos y transacciones que son susceptibles a actividades
fraudulentas u otras actividades no autorizadas.
Se requiere cifrado.
Regulado
Solo propietario de datos
• El propietario de la información define los permisos por usuario/rol
• Acceso altamente restringido o controlado
• El propietario de la información define los permisos por usuario/rol
• Controles (por ejemplo, separación de funciones) necesarios para
procesos y transacciones que son susceptibles a actividades
fraudulentas u otras actividades no autorizadas.

Eliminar acceso • El propietario de la información define los permisos por usuario/rol • El propietario de la información define los permisos por usuario/rol • El propietario de la información define los permisos por usuario/rol • El propietario de la información define los permisos por usuario/rol
• Controles (por ejemplo, separación de funciones) necesarios para • Controles (por ejemplo, separación de funciones) necesarios para
procesos y transacciones que son susceptibles a actividades procesos y transacciones que son susceptibles a actividades
fraudulentas u otras actividades no autorizadas. fraudulentas u otras actividades no autorizadas.

6. Controles de transmisión Público Sensible Confidencial Regulado

Controles de impresión Sin restricciones El propietario de la información define los permisos Salida enrutada a una impresora predefinida e impresión monitoreada Salida enrutada a una impresora predefinida e impresión monitoreada
o segura habilitada o segura habilitada
Transmisión por red pública Sin restricciones Cifrado recomendado Cifrado requerido Cifrado requerido
Liberación a terceros Sin restricciones Sin restricciones Acuerdo de confidencialidad y aprobación del propietario Acuerdo de confidencialidad y aprobación del propietario

PLANTILLA DE CLASIFICACIÓN DE DATOS PÁGINA2 DE 5

7. Controles de auditoría
Proceso de seguimiento por registro
Auditoría de la actividad de acceso
Criterios de retención para informes de
acceso
Criterios de retención de acceso
Cronograma del ciclo de revisión de la
clasificación
8. Requisitos de notificación
Divulgación requerida al interesado
Divulgación requerida al público
Divulgación requerida a los socios federales No divulgación de información pública.
Divulgación requerida a los socios estatales No divulgación de información pública.
Divulgación requerida a terceros
PLANTILLA DE CLASIFICACIÓN DE DATOS
Público Sensible
n/A n/A
n/A El sistema de TI debe configurarse para registrar todos los intentos de
infracción. Se deben mantener registros de auditoría para garantizar la
responsabilidad de las modificaciones de los recursos de información y
de todos los cambios en las reglas automatizadas de
seguridad/acceso.
Los registros deben conservarse de acuerdo con las pautas de Los registros deben conservarse de acuerdo con las pautas de
conservación de registros. conservación de registros.
n/A El propietario determina la retención de los registros de infracciones
La fecha de revisión y afirmación debe establecerse pero es flexible, es La fecha de revisión y afirmación debe establecerse pero es flexible, es El propietario de la información debe revisar y afirmar toda la
decir, 1 o 2 años. decir, 1 o 2 años.
Público Sensible
No divulgación de información pública. No divulgación de información pública.
No divulgación de información pública. No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública. No divulgación de información pública.
Confidencial
Destinatarios, copias realizadas, ubicaciones, direcciones, quienes
vieron y destrucción
El sistema de TI debe configurarse para registrar todos los intentos de
infracción. Se deben mantener registros de auditoría para garantizar la
responsabilidad de las modificaciones de los recursos de información y
de todos los cambios en las reglas automatizadas de
seguridad/acceso.
Los registros deben conservarse de acuerdo con las pautas de
conservación de registros.
El propietario determina la retención de los registros de infracciones
clasificación de la información y los derechos del usuario, sin exceder 1 clasificación de la información y los derechos del usuario, sin exceder 1
año.
Confidencial
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
Regulado
Destinatarios, copias realizadas, ubicaciones, direcciones, quienes
vieron y destrucción
El sistema de TI debe configurarse para registrar todos los intentos de
infracción. Se deben mantener registros de auditoría para garantizar la
responsabilidad de las modificaciones de los recursos de información y
de todos los cambios en las reglas automatizadas de
seguridad/acceso.
Los registros deben conservarse de acuerdo con las pautas de
conservación de registros.
El propietario determina la retención de los registros de infracciones
El propietario de la información debe revisar y afirmar toda la
año.
Regulado
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
No divulgación de información pública.
PÁGINA3 DE 5
Térmi Definición
no
Referencia