Professional Documents
Culture Documents
Mayo de 2015
INVENTARIO DE ACTIVOS DE
INFORMACIN
Diseo y diagramacin
Diego Andrs Forero Hernndez / Direccin Distrital de Desarrollo Institucional
Bogot D. C.
Mayo de 2015
Contenido
1. INTRODUCCIN........................................................................................................................................ 4
1.1 Enfoque......................................................................................................................................................... 5
1.2 Implementacin............................................................................................................................................. 5
1.3 Resultado....................................................................................................................................................... 6
1.4 Requisitos Asociados...................................................................................................................................... 6
2. TRMINOS Y DEFINICIONES................................................................................................................... 7
3. GENERALIDADES.................................................................................................................................... 10
4. ACTIVOS DE INFORMACIN DE TIPO DATOS O INFORMACIN ................................................13
4.1 REGISTRO DE ACTIVOS DE INFORMACIN.......................................................................................................13
4.1.1 REQUISITOS DEL DECRETO 103 DE 2015................................................................................................... 13
4.1.2 REQUISITOS NTC-ISO/IEC 27001, NTC-ISO/IEC 27002 y NTC-ISO/IEC 27003 y NTC-ISO/IEC ISO 27004............. 16
4.1.3 FORMATO PROPUESTO DE REGISTRO DE ACTIVOS DE INFORMACIN....................................................... 18
4.2 BASES DE DATOS COMO ACTIVOS DE INFORMACIN......................................................................................21
BIBLIOGRAFA................................................................................................................................................. 27
1. INTRODUCCIN
El presente lineamiento tiene como objetivo entregar una metodologa para la identificacin y clasificacin de
los activos de informacin en las entidades distritales, que contemple los aspectos, orientaciones y lineamientos
existentes en materia de seguridad de la informacin, gestin documental, gestin de calidad y control interno,
en el marco de la implementacin del Sistema Integrado de Gestin en las entidades y organismos distritales.
Esta metodologa se plantea como un paso para avanzar en la articulacin entre los subsistemas que componen
el Sistema Integrado de Gestin SIG-. Plantea la integracin de los instrumentos: cuadro de caracterizacin
documental como listado maestro de registros y el inventario de activos de informacin.
Esta articulacin conlleva a contar con un insumo nico, tanto para la caracterizacin de la produccin
documental como para la identificacin de los activos de informacin en la entidad. Asimismo, consolida la
base para la construccin de otros instrumentos archivsticos y de gestin de la informacin pblica.
La construccin del presente lineamiento, se efectu en el marco de las sesiones de trabajo de la mesa tcnica
del Comit Tcnico de Seguridad de Informacin de la Secretara General de la Alcalda Mayor de Bogot D.C.,
con la participacin activa de profesionales de la Direccin Distrital de Desarrollo Institucional, la Subdireccin
del Sistema Distrital de Archivos de la Direccin Archivo de Bogot, la Subdireccin de Informtica y Sistemas,
y la Subdireccin de Gestin Documental de la Secretara General y la Oficina de Alta Consejera para las
Tecnologas de la Informacin y las Comunicaciones, escalando posteriormente a la mesa tcnica de trabajo
de la Comisin Intersectorial del Sistema Integrado de Gestin Distrital.
En dichas mesas de trabajo se llev a cabo el anlisis de los requerimientos normativos y tcnicos para la
identificacin de los activos de informacin y las directrices existentes en materia de seguridad de la
informacin, en paralelo con el lineamiento No. 4 Cuadro de Caracterizacin Documental como Listado
Maestro de Registros, as como las establecidas en:
La Ley 594 de 2000, que obliga a las entidades de la Administracin Pblica elaborar inventarios de los
documentos que se produzcan en ejercicio de sus funciones, de manera que se asegure el control de los
documentos en sus diferentes fases.
La Resolucin 305 de 2008 de la Comisin Distrital de Sistemas, por la cual se expiden polticas pblicas
para las entidades, organismos y rganos de control del Distrito Capital, en materia de Tecnologas de la
Informacin y Comunicaciones respecto a la planeacin, seguridad, democratizacin, calidad, racionalizacin
del gasto, conectividad, infraestructura de Datos Espaciales y Software Libre.
El Decreto Nacional 2573 de 2014 por el cual se establecen los lineamientos generales de la Estrategia de
Gobierno en Lnea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones.
La Ley 1712 de 2014, por medio de la cual se crea la Ley de Transparencia y del Derecho de Acceso a la
Informacin Pblica Nacional y se dictan otras disposiciones
El Decreto 103 de 2015 por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones.
Asimismo, se desarroll una prueba piloto en la Secretara General de la Alcalda Mayor de Bogot D.C., con el
fin de verificar la aplicabilidad de la metodologa, hacer evidentes las dificultades de su aplicacin y plantear
ajustes o aclaraciones a la misma.
Posteriormente, se present para su revisin y aprobacin a la Comisin Intersectorial del Sistema Integrado
de Gestin Distrital.
Dada la armonizacin que este lineamiento propone, es importante aclarar que la metodologa que se
presenta a continuacin no afecta los procesos de elaboracin, aprobacin y convalidacin de las Tablas de
Retencin Documental TRD , que las entidades han adelantado o estn adelantando hasta el momento;
es decir, si la entidad ya cuenta con avances sustanciales en la construccin de su cuadro de caracterizacin
documental como insumo para estos instrumentos, seguirn en ese proceso sin novedad, hasta la obtencin
de la convalidacin.
Finalmente, a continuacin se relacionan los requisitos establecidos en la Norma Tcnica Distrital NTD-SIG
001:2011 y en la Matriz de anlisis de los productos del Sistema Integrado de Gestin (Enfoque, Implementacin,
Resultado), asociados a este lineamiento:
1.1 Enfoque
Garantizar la seguridad de la informacin en la entidad, mediante la definicin, implementacin, seguimiento
y mejoramiento de elementos (herramientas, controles, procedimientos, etc.) que permitan proteger la
informacin frente a la posible materializacin de riesgos que afecten su disponibilidad, confiabilidad e
integridad.
1.2 Implementacin
De conformidad con la GTC-ISO/IEC 27003, para identificar los activos dentro del alcance del SGSI se recomienda
identificar e incluir la siguiente informacin:
El nombre nico del proceso.
La descripcin del proceso y las actividades asociadas (creadas, almacenadas, transmitidas, eliminadas)
La criticidad del proceso para la organizacin (si es crtico, importante, de apoyo).
El dueo del proceso (unidad de la organizacin).
Los procesos que proveen entradas y salidas de ese proceso.
Las aplicaciones de tecnologas de informacin (IT) que apoyan este proceso.
En relacin con la Gestin de Activos de informacin la Entidad u Organismo Distrital debe tener en cuenta lo
siguiente:
Una vez identificados los activos de informacin, la entidad u organismo distrital debe:
Definir el responsable de los activos de informacin de la entidad u organismo distrital.
Definir el custodio de los activos de informacin de la entidad u organismo distrital.
Consolidar los activos de informacin en un inventario de activos de informacin
Aprobar el inventario de activos de informacin.
Socializar el inventario de activos de informacin.
1.3 Resultado
Frente a los resultados esperados de la gestin de seguridad de la informacin en las Entidades y Organismos
Distritales, se debe verificar:
Requisito 4.2.1.d Describir los procesos identificados en una caracterizacin o ficha de procesos, la cual debe
contener o referenciar como mnimo:
11) La relacin o referencia de los activos de informacin del proceso.
1
13) La relacin o referencia de los registros asociados al proceso .
1. SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. Norma tcnica distrital del Sistema Integrado
de Gestin para las entidades distritales. Bogot D.C.: Secretara General, 2013. p. 29 (NTD-SIG 001:2011)
2. TRMINOS Y DEFINICIONES
Activo: Cualquier cosa que tiene valor para la organizacin2.
Las tipologas recomendadas por la ISO 27002 son las siguientes:
Datos o Informacin
Software
Hardware
Servicios
Personas
Conocimiento
Activo de informacin. Elementos de hardware y de software de procesamiento, almacenamiento y
comunicaciones, bases de datos y procesos, procedimientos y recursos humanos asociados con el manejo
de los datos y la informacin misional, operativa y administrativa de cada entidad, rgano u organismo3. En
su sentido ms amplio, stos hacen referencia a la informacin que se recibe, transforma y produce en la
entidad u organismo distrital en el cumplimiento de sus funciones.
Categoras de informacin. Toda informacin de contenido o estructura homognea, sea fsica o electrnica,
emanada de un mismo sujeto obligado como resultado del ejercicio de sus funciones y que pueda agruparse
a partir de categoras, tipos o clases segn sus caractersticas internas (contenido) o externas (formato o
estructura)4. A nivel archivstico distrital, dicha categora se reconoce como serie y subserie documental.
Confidencialidad. Propiedad que determina que la informacin no est disponible ni sea revelada a
individuos, entidades o procesos no autorizados5.
la produccin documental (registros) de una entidad en virtud del cumplimiento de las funciones, procesos,
procedimientos y normativa aplicables6.
Disponibilidad. Propiedad de que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada7. Un documento disponible es aquel que puede ser localizado, recuperado, presentado e
interpretado. Su presentacin debe mostrar la actividad u operacin que lo produjo8.
Documento de archivo (records). Registro de informacin producida o recibida por una entidad pblica o
privada en razn de sus actividades o funciones9.
por medios electrnicos, que permanecen en estos medios durante su ciclo vital; es producida por una
persona o entidad en razn de sus actividades y debe ser tratada conforme a los principios y procesos
archivsticos10.
Listado Maestro de Registros -LMR-. Es el inventario de los documentos que proporcionan evidencia del
desarrollo de las actividades y/o funciones propias de la entidad. En el distrito capital, asimilado en el Cuadro
de Caracterizacin Documental.
de un mismo rgano o sujeto productor como consecuencia del ejercicio de sus funciones especficas.
Ejemplos: historias laborales, contratos, actas e informes, entre otros.16
Sistema Integrado de Gestin SIG-. Herramienta de gestin sistemtica y transparente compuesta por
el conjunto de orientaciones, procesos, polticas, metodologas, instancias e instrumentos que permitan
garantizar un ejerci articulado y armnico, para dirigir y evaluar el desempeo institucional, en trminos
7. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ICO/IEC 27001) Op. cit. 2
8. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. Informacin y Documentacin: Gestin de
Documentos. Parte 1: Generalidades. Bogot D.C.: ICONTEC, 2012, p. 11 (NTC-ISO 15489-1).
9. COLOMBIA. ARCHIVO GENERAL DE LA NACIN. Acuerdo 027 de 2006 por el cual se modifica el Acuerdo No. 07 de 29 de
junio de 1994. En: Diario Oficial No. 46.528 (ene, 2007) p. 41.
10. Ibid. p. 42.
11. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ICO/IEC 27001) Op. cit. p. 3.
12. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ISO 15489-1). Op. cit. p. 11
13. COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA. Norma Tcnica de Calidad en la Gestin
Pblica. Bogot D.C.: Departamento Administrativo de la Funcin Pblica, 2009. p. 14 (NTCGP 1000:2009). Disponible en <http://
portal.dafp.gov.co/form/formularios.retrive_publicaciones?no=628>
14. COLOMBIA. CONGRESO DE COLOMBIA. Decreto Nacional 103 de 2015. Op. cit. p. 10
15. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ICO/IEC 27001) Op. cit. p. 3.
16. COLOMBIA. ARCHIVO GENERAL DE LA NACIN. Acuerdo 027 de 2006. Op. cit. p. 43
de calidad y satisfaccin social en la prestacin de los servicios a cargo de las entidades y agentes obligados,
enmarcada en los planes estratgicos y de desarrollo de las entidades distritales. Tal sistema se encuentra
conformado por los siguientes subsistemas: Subsistema de Gestin de la Calidad SGC-, Subsistema Interno
de Gestin Documental y Archivos SIGA-, Subsistema de gestin de Seguridad de la informacin SGSI-,
Subsistema de Seguridad y Salud Ocupacional -S&SO-, Subsistema de Responsabilidad Social SRS-,
Subsistema de Gestin Ambiental SGA- y Subsistema de Control Interno -SCI-.
Subsistema de Gestin de Seguridad de la Informacin SGSI. Parte del sistema de gestin global, basada
en un enfoque hacia los riesgos globales de un negocio, cuyo fin es establecer, implementar, operar, hacer
seguimiento, revisar, mantener y mejorar la seguridad de la informacin17.
Subsistema Interno de Gestin Documental y Archivos SIGA-. Es uno de los componentes del Sistema
Integrado de Gestin, definido como el conjunto de elementos interrelacionados o que interactan en la
entidad, con el fin de establecer las polticas, las operaciones y el control sistemtico para la administracin
y la organizacin de la documentacin, desde su origen hasta su destino final, facilitando su acceso, uso y
conservacin.
Tabla de retencin documental -TRD-: Listado de series, con sus correspondientes tipos documentales, a
17. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ICO/IEC 27001) Op. cit. p. 3.
18. COLOMBIA. CONGRESO DE COLOMBIA. Ley 594 del 2000 por medio de la cual se dicta la Ley General de Archivos y se dictan
otras disposiciones. Artculo 3 definiciones. En: Diario Oficial 44084.
las cuales se asigna el tiempo de permanencia en cada etapa del ciclo vital de los documentos18
3. GENERALIDADES
Para las entidades y organismos del sector pblico distrital no son desconocidos los trminos seguridad y
activos de informacin, en razn a que la Comisin Distrital de Sistemas con la expedicin de la Resolucin
305 de 2008 los introdujo formalmente en el mbito distrital, a travs de la formulacin en el Captulo Segundo
de este acto administrativo, de las polticas de seguridad de la informacin para el Distrito Capital.
10
Un aspecto para resaltar de esta normativa, es la de requerir la armonizacin de los sistemas de gestin a las
entidades y organismos distritales mediante el Artculo 13, en el cual se establece que:
las directrices y lineamientos definidos deben ser difundidos, incorporados y acogidos al interior de cada una de
las entidades, organismos y rganos de control del Distrito Capital, que junto con las normas internacionales
generalmente aceptadas, son la base para que se implemente el Sistema de Gestin de Seguridad de la
Informacin (SGSI), el cual debe estar alineado con el Sistema Integrado de Gestin, en cada uno de sus
componentes, esto es, los Sistemas de Gestin de Calidad, Control Interno, Desarrollo Administrativo y Gestin
Ambiental (resaltado fuera de texto).
Por otra parte, el Artculo 15 Polticas y estndares de seguridad, determina que:
la Comisin Distrital de Sistemas (CDS), con el fin de formalizar las polticas de seguridad de la informacin
y los estndares planteados en las normas NTC-ISO/IEC 27001, que seala los requisitos del Sistema
de Gestin de Seguridad de la Informacin y NTC/ISO IEC 17799 con su equivalente NTC-ISO/IEC 27002, que
establece las mejores prcticas para la implementacin del Sistema de Gestin de Seguridad de la Informacin,
define los objetivos, alcances e importancia de la seguridad, como mecanismo para proteger la informacin y
determinar las responsabilidades generales y especficas para la gestin de dicha seguridad, definir y adoptar los
lineamientos a seguir para la implementacin del Sistema de Gestin de Seguridad de la Informacin.
Este modelo contiene los procedimientos y estndares adecuados a la arquitectura de seguridad que incluye el
aseguramiento de una plataforma tecnolgica y los controles y administracin de los activos que garanticen
la seguridad de la informacin del organismo (resaltado fuera de texto)19.
A nivel internacional, la ISO 27002:2013 define activo como Cualquier cosa que tiene valor para la organizacin20,
y recomienda los siguientes tipos de activos de informacin:
Datos o Informacin
Software
Hardware
Servicios
Personas
Conocimiento
19. SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. COMISIN DISTRITAL DE SISTEMAS. Resolucin
305 de 2008. Op. cit.
20. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ICO/IEC 27001) Op. cit. p. 3.
Como se observa, a parte de los bienes fsicos que generalmente se consideran como activos de una
organizacin, se adicionan a estas categoras los denominados datos o informacin. Al respecto es conveniente
destacar que el artculo 9 de la Resolucin 305 de 2008 considera que por ser la informacin el activo ms
importante de la organizacin, es necesario protegerla frente a los posibles riesgos derivados del uso de las
nuevas tecnologas, para garantizar la seguridad de la informacin, en aspectos tales como disponibilidad,
confiabilidad, accesibilidad e integridad de la misma.
Otra norma relacionada en materia de seguridad de la informacin es el Decreto Nacional 2573 de 2014 por el
cual se establecen los lineamientos generales de la Estrategia de Gobierno en lnea, se reglamenta parcialmente la
Ley 1341 de 2009 y se dictan otras disposiciones, que en el numeral 4 de su artculo 5 establece como uno de los
componentes que facilitarn la masificacin de la oferta y la demanda del Gobierno en Lnea, la seguridad y
privacidad de la Informacin que comprende las acciones transversales a los dems componentes enunciados,
tendientes a proteger la informacin y los sistemas de informacin, del acceso, uso, divulgacin,
interrupcin o destruccin no autorizada (resaltado fuera de texto).
11
Dicho Decreto adems define como plazo para la implementacin de las actividades establecidas en el Manual
de Gobierno en Lnea para las entidades del Distrito Capital el ao 2018 (Artculo 10. Plazos). Asimismo, el Manual
de Gobierno en Lnea en su Anexo 1 hace referencia a los elementos transversales de la estrategia, y establece
como una de las actividades implementar un Sistema de Gestin de Seguridad de la Informacin, la cual en
las acciones del planear establece definir el inventario de activos de informacin21.
Por su parte el Subsistema de Gestin Documental y Archivos SIGA-, en cumplimiento de la normativa
archivstica establecida en el pas a partir de la Ley 594 de 2000 o Ley General de Archivos, cuenta con una serie
de instrumentos archivsticos que permiten identificar la documentacin que se produce en desarrollo de las
actividades de la entidad, determinar su valor como activos de informacin, delimitar sus tiempos de retencin
en los archivos de gestin y central y, definir su disposicin final22. Entre dichos instrumentos se identifican:
Todo sujeto obligado deber asegurarse de que sus Registros de Activos de Informacin cumplan con los
estndares establecidos por el Ministerio Pblico y con aquellos dictados por el Archivo General de la Nacin, en
relacin a la constitucin de las Tablas de Retencin Documental (TRD) y los inventarios documentales.
ste aspecto fue regulado mediante el Decreto 103 de 2015 por el cual se reglamenta parcialmente la Ley 1712 de
2014 y se dictan otras disposiciones, al cual se har referencia ms adelante.
12
En este sentido, la mesa tcnica del Comit Tcnico de Seguridad de la Informacin de la Secretara General
de la Alcalda Mayor de Bogot D.C., consider de gran importancia propender por la articulacin de estos
requisitos, con los aspectos relacionados a la gestin documental en las entidades y organismos distritales.
Por lo anteriormente expresado, la mesa tcnica, con base en el anlisis de los requisitos de la familia de
normas tcnicas ISO 27000 en lo que corresponde a los activos de informacin, as como de los instrumentos
archivsticos del SIGA y los requisitos definidos en la Ley de Transparencia y Acceso a la Informacin; hace una
propuesta metodolgica para la identificacin y clasificacin de los activos de informacin del tipo datos, en la
cual se complemente estratgicamente la informacin que recopila el Cuadro de Caracterizacin Documental
con los requerimientos de las normas anteriormente mencionadas, conformando as el Registro de Activos de
Informacin.
Para los tipos de activos de informacin Software, Hardware y Servicios, se realiza una propuesta
metodolgica en la cual se identifican las caractersticas que al respecto definen los estndares planteados en
las normas NTC-ISO/IEC 27001.
13
Partiendo de lo anterior, se procedi a realizar la alineacin de requisitos y normatividad relacionada con los
activos de informacin tal como se presenta a continuacin.
En este sentido, las categoras a las que hace referencia el Decreto 103 de 2015 corresponde por definicin
a las series documentales que se manejan desde el SIGA y los numerales 2 y 3, del mencionado decreto,
hacen referencia a los registros.
Ahora bien, como se estableci en el Lineamiento 4 del SIG: Cuadro de Caracterizacin Documental como
Listado Maestro de Registros:
14
teniendo en cuenta que los registros desde el punto de vista del Subsistema de Gestin de Calidad son documentos
que proporcionan evidencia de las actividades realizadas o los resultados obtenidos por una entidad u organismo
distrital, y que el documento de archivo, en el marco del Subsistema Interno de Gestin Documental y Archivos,
es el registro de la informacin producida o recibida por una entidad u organismo distrital en razn de sus
actividades o funciones, para el manejo de la documentacin del Sistema Integrado de Gestin es necesario tener
en cuenta que los registros son documentos de archivo27.
En consideracin de lo anterior, se observa que en el Cuadro de Caracterizacin Documental se incluye la
totalidad de la produccin documental de la entidad (documentos de archivo o registros) as como su
clasificacin en series (categoras de informacin), por lo que, se consider viable la articulacin de los dos
instrumentos.
El artculo 38 del Decreto 103 de 2015 establece que para cada uno de los componentes del Registro de Activos de
Informacin debe detallarse los siguientes datos:
a) Nombre o ttulo de la categora de informacin: trmino con que se da a conocer el nombre o asunto de la
informacin.
fsico, medio electrnico o por algn otro tipo de formato audiovisual entre otros (fsico, anlogo o digitalelectrnico).
e) Formato: identifica la forma, tamao o modo en la que se presenta la informacin o se permite su visualizacin
o consulta, tales como: hoja de clculo, imagen, audio, video, documento de texto, etc.
f) Informacin publicada o disponible: indica si la informacin est publicada o disponible para ser solicitada,
sealando dnde est publicada y/o dnde se puede consultar o solicitar28.
27. SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D. C. Lineamiento 4 del Sistema Integrado de Gestin:
Cuadro de Caracterizacin Documental como Listado Maestro de Registros
28. COLOMBIA. CONGRESO DE COLOMBIA. Decreto Nacional 103 de 2015 por el cual se reglamenta parcialmente la Ley 1712 de
2014 y se dictan otras disposiciones. Artculo 38 Componentes del Registro de Activos de Informacin. En: Diario Oficial 49400.
Tabla 1 Comparativo Cuadro de Caracterizacin Documental vs. Requisitos del Decreto 103 de 2015
CAMPO SOLICITADO EN EL CUADRO DE
CARACTERIZACIN DOCUMENTAL
N. A.
N. A.
OBSERVACIONES
N. A.
Nombre del registro o
documento de archivo
Definicin
Tipo documental
Interno
N. A.
Externo
N. A.
N.A.
N. A.
Serie
Subserie
N. A.
15
Anlogo
Digital
Electrnico
Descripcin del Soporte
N. A.
Tipo de Origen
N. A.
Clasificacin
documental
N. A.
N. A.
De la tabla anterior se observa que incluyendo cuatro campos nuevos en el Cuadro de Caracterizacin
Documental y precisando el contenido de uno de ellos (descripcin del soporte), se da cumplimiento a lo
exigido en el Decreto 103 de 2015.
Como conclusin de lo anterior, la identificacin de los activos de informacin de tipo datos o informacin
se realiza a travs del reconocimiento de la produccin documental de la entidad u organismo distrital. En
este sentido, dadas las caractersticas de las entidades pblicas, la totalidad de la produccin documental
hace parte de los activos de informacin, toda vez que se desarrollan procesos, procedimientos y funciones
establecidas por la normatividad vigente, y se debe dar cuenta del desarrollo de las mismas.
Tipo de Soporte
4.1.2 REQUISITOS NTC-ISO/IEC 27001, NTC-ISO/IEC 27002 y NTC-ISO/IEC 27003 y NTC-ISO/IEC ISO 27004
Esta norma establece que debe realizarse una clasificacin de los activos, teniendo en cuenta tres caractersticas:
la disponibilidad, la integridad y la confidencialidad. Estos tres aspectos se articulan con lo dispuesto por la
Comisin Distrital de Sistemas en el artculo 10 de la Resolucin 305 de 2008, en el cual se determina que
la seguridad de la informacin es la preservacin de la confidencialidad, integridad y disponibilidad de la
informacin.
16
La disponibilidad hace referencia a que la informacin sea accesible y utilizable por solicitud de una entidad
autorizada. A partir de esto, las entidades u organismos distritales deben desarrollar las estrategias y los
instrumentos con los cuales las partes interesadas puedan hacer uso de la informacin. Esto implica que la
documentacin pueda ser localizada, recuperada e interpretada, con base en su contexto de produccin,
manteniendo los vnculos existentes entre los documentos, la secuencia de actividades que les dan origen y
las funciones asignadas a la entidad.
De lo anterior se desprende que, a partir del desarrollo de los procesos archivsticos de clasificacin y valoracin
documental, la disponibilidad de la informacin se apoya en la definicin de una estructura que es reflejada en
primera instancia en las series y subseries documentales, con las cuales las partes interesadas podrn identificar
tanto la informacin como las agrupaciones documentales de su inters, para acceder a ellas. Por defecto
los documentos de archivo (registros) estn disponibles con base en una estructura de organizacin que se
encuentra reflejada en instrumentos tales como el cuadro de clasificacin y la tabla de retencin documental.
La integridad hace referencia a la propiedad de salvaguardar la exactitud y estado completo de los activos.
Para las entidades pblicas toda la produccin documental es evidencia del cumplimiento de su objeto social,
funciones, procesos y procedimientos, por lo que la totalidad de esa produccin debe ser salvaguardada para
cumplir estas propiedades. Esta condicin, se evidencia en el Cuadro de Caracterizacin Documental, donde
independientemente del soporte en el que se registra la informacin, se identifica la produccin documental
de cada uno de los procesos y funciones que desarrolla una unidad administrativa, en el orden original en el
que se suceden los trmites.
Finalmente, la confidencialidad hace referencia a la propiedad que determina que la informacin no est
disponible ni sea revelada a individuos, entidades o procesos no autorizados. En este caso particular, el artculo
6 de la Ley 1712 de 2014 establece las siguientes definiciones:
a) Informacin pblica. Es toda informacin que un sujeto obligado genere, obtenga, adquiera, o controle en
su calidad de tal;
b) Informacin pblica clasificada. Es aquella informacin que estando en poder o custodia de un sujeto
obligado en su calidad de tal, pertenece al mbito propio, particular y privado o semiprivado de una persona
natural o jurdica por lo que su acceso podr ser negado o exceptuado, siempre que se trate de las circunstancias
legtimas y necesarias y los derechos particulares o privados consagrados en el artculo 18 de esta ley;
c) Informacin pblica reservada. Es aquella informacin que estando en poder o custodia de un sujeto
obligado en su calidad de tal, es exceptuada de acceso a la ciudadana por dao a intereses pblicos y bajo
cumplimiento de la totalidad de los requisitos consagrados en el artculo 19 de esta ley.
Asimismo, el artculo 19 de la mencionada Ley determina que la informacin exceptuada por dao a los
intereses pblicos es toda aquella informacin pblica reservada, cuyo acceso podr ser rechazado o denegado
de manera motivada y por escrito en las siguientes circunstancias, siempre que dicho acceso estuviere expresamente
prohibido por una norma legal o constitucional:
a)
b)
La seguridad pblica;
c)
17
d) La prevencin, investigacin y persecucin de los delitos y las faltas disciplinarias, mientras que no se haga
efectiva la medida de aseguramiento o se formule pliego de cargos, segn el caso;
e)
f)
g)
h)
i)
La salud pblica.
Pargrafo. Se exceptan tambin los documentos que contengan las opiniones o puntos de vista que formen
parte del proceso deliberativo de los servidores pblicos.
Teniendo en cuenta lo expuesto anteriormente, el anlisis del nivel de confidencialidad de los documentos de
archivo (registros) se realizar conforme a lo establecido en la precitada ley.
Por su parte, la ISO 27004 considera que una vez identificados los activos de informacin, la entidad u organismo
distrital debe:
18
El propietario de los activos tiene responsabilidad aprobada de la direccin por el control de la produccin, el
desarrollo, el mantenimiento, el uso y la seguridad de los activos. 29
Norma, funcin o proceso: registrar el nombre del proceso definido en el SIG al cual pertenece el documento
de archivo (registro); en caso de no existir un proceso definido, relacione la norma y el (los) artculo(s) o funcin
que permite la produccin del documento de archivo (registro).
Cdigo del Procedimiento: registrar el cdigo del procedimiento en el que se encuentra referenciado el
documento de archivo o registro y su versin. Si se identifica una norma o funcin, en este campo se incluye
No Aplica (NA).
Nota: La informacin de estos dos primeros campos es producto del anlisis del marco normativo que debe
cumplir la entidad u organismo distrital y de la identificacin de la documentacin del Sistema Integrado
de Gestin.
Cdigo del Formato: registrar el cdigo asignado al formato dentro del Sistema Integrado de Gestin, del cual
se genera el documento de archivo o registro. En caso que el formato se encuentre en proceso de adopcin o
sea un documento externo, registre el nombre de ste. S no se cuenta con un formato preestablecido para la
generacin del documento de archivo (registro), en este campo se incluye No Aplica (NA).
Tipo documental30: identificar los documentos de archivo (registros) que se generan de la ejecucin de las
diferentes actividades. Para tal fin, revisar el nombre del documento de archivo (registro) teniendo en cuenta
cul es la razn de ser del mismo.
Nombre del registro o documento de archivo: registrar la denominacin asignada al documento de
archivo o registro. Es necesario resaltar que este nombre es diferente al nombre asignado al formato.
Ejemplo:
Nombre del formato: 2211600-FT-008 Acta de reunin
Documento de Archivo (registro): Acta de seguimiento con el grupo acadmico.
29. INSTITUTO COLOMBIANO DE NORMAS TCNICAS Y CERTIFICACIN. (NTC-ICO/IEC 27002) Tecnologa de la
informacin. Tcnicas de seguridad. Cdigo de Practica para la gestin de la seguridad de la informacin (SGSI). Requisitos. Bogot
D.C.: ICONTEC, 2007.p. 23.
30. Tipo documental: unidad documental simple originada en una actividad administrativa, con diagramacin, formato y contenido
distintivos que sirven como elementos para clasificarla, describirla y asignarle categora diplomtica. (Archivo General de la Nacin
Acuerdo 027 de 2006).
Definicin: realizar la descripcin general del documento, especificando la informacin que contiene.
Idioma: establecer el Idioma, lengua o dialecto en que se encuentra la informacin consignada en el
documento de archivo (registro).
Tipo de Soporte: Medios en los cuales se contiene la informacin, segn los materiales empleados. Adems
de los archivos en papel existen los archivos audiovisuales, fotogrficos, flmicos, informticos, orales y sonoros
(Ley 594 de 2000, Art. 3).
Anlogo: marcar con una X si el documento se encuentra elaborado en soporte papel y cinta (video,
cassette, pelcula, microfilm, entre otros).
31
19
Digital: marcar con una X en caso que el documento (registro) haya sido digitalizado o haya sufrido un
proceso de conversin de una seal o soporte analgico a una representacin digital (Acuerdo 027 de 2006
de Archivo General de la Nacin).
Electrnico: marcar con una X si el registro de la informacin generada, recibida, almacenada, y
comunicada se encuentra en medios electrnicos, y permanece en estos medios durante su ciclo vital.
(Acuerdo 027 de 2006 de Archivo General de la Nacin).
Descripcin del soporte: en este se debe Indicar el soporte especfico de la informacin: papel; cintas,
pelculas y casetes (cine, video, audio, microfilm, etc.); discos duros; discos pticos (CD, DVD, Blu Ray, etc.),
entre otros.
Presentacin de la informacin (formato): se debe identificar la forma, tamao o modo en la que se
presenta la informacin o se permite su visualizacin o consulta, tales como: hoja de clculo, imagen,
video, documento de texto, etc. As mismo, si es necesario, especificar la extensin del archivo en el que se
encuentra dicho documento, por ejemplo .jpg, .odt, .xls.
Nota: Si el documento es anlogo se debe diligenciar no aplica (N.A.)
Interno: marcar con una X cuando la informacin es generada por la entidad u organismo distrital.
Externo: marcar con una X cuando la informacin es generada por una persona natural o jurdica diferente
a la entidad u organismo distrital y hace parte de las actividades de sta.
Clasificacin documental: en este apartado se registrar el nombre de la serie o subserie documental, bajo
la cual se organiza la documentacin producida por la entidad u organismo distrital, y una breve descripcin
del contenido de estas. Las series y subseries documentales respectivamente se encuentran registradas en la
Tabla de Retencin Documental.
31.
Digitalizacin: tcnica que permite la reproduccin de informacin que se encuentra guardada de manera
analgica (Soportes: papel, video, casetes, cinta, pelcula, microfilm y otros) en una que slo puede leerse o interpretarse
por computador. (Acuerdo 027 de 2006 de Archivo General de la Nacin).
Tipo de Origen: identificar dnde se genera la informacin contenida en el documento de archivo (registro),
con base en los siguientes criterios:
Serie y Subserie: registrar el nombre asignado en la tabla de retencin documental para la serie y
subserie. En caso de no contar con una clasificacin documental, en este campo se registra la expresin
sin establecer.
Descripcin de la serie y subserie (categora de informacin): hacer una breve descripcin del contenido
de la serie y subserie documental, la cual se puede ser tomada de las Fichas de Valoracin Documental, si
ya se encuentran elaboradas.
Estado y custodia de la informacin (disponibilidad):
20
Estado: indicar si el documento de archivo (registro) se encuentra disponible (los usuarios pueden acceder
a l en el lugar donde se ubica el documento original), publicado (los usuarios pueden acceder en lnea al
documento, es decir, a travs de la pgina web u otro medio habilitado para tal fin), o disponible y publicado
(puede presentarse que el original del documento de archivo (registro) se encuentre disponible, pero que
exista publicada una copia del mismo).
Localizacin del documento o registro: indicar el archivo de gestin o el lugar donde reposa el original
del documento.
Link de publicacin: incluir el link de consulta del documento de archivo (registro) en el caso en que se
encuentre en lnea, es decir, a travs de la pgina web u otro medio habilitado para tal fin. De lo contrario
escriba No aplica.
32. COLOMBIA. MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y LAS COMUNICACIONES et. al. Documentos
electrnicos. Bogot D.C.: Minitc, 2013?. p. 6 (Cero papel en la administracin pblica, Gua No. 3) Disponible en: <http://programa.
gobiernoenlinea.gov.co/apc-aa-files/Cero_papel/guia-3-documentos-electronicos-v1.pdf>
21
A travs de los sistemas de informacin con que cuentan las entidades y organismos distritales se recoge
informacin que de una u otra forma toma lugar en la resolucin de los asuntos, en este escenario las bases
de datos como Coleccin de datos afines, relacionados entre s y estructurados de forma tal que permiten
el rpido acceso, manipulacin y extraccin de ciertos subconjuntos de estos datos por parte de programas
creados para tal efecto32 no son documentos de archivo (registros) como tal. No obstante, s requieren
de una identificacin, proteccin, control y seguimiento en trminos de acceso, disponibilidad, integridad y
confidencialidad de datos, por lo tanto stas pueden registrarse como activos de informacin tipo datos.
22
Software: Conjunto de programas, instrucciones y reglas informticas para ejecutar ciertas tareas en una
computadora33. El Manual Tcnico del MECI 2014 hace referencia a los programas, informacin y conocimiento
(software) como el conjunto ordenado de instrucciones, informacin y base de conocimientos dadas al
computador y que son requeridas para el trabajo de estos sistemas34.
Hardware: El Manual Tcnico del MECI 2014 hace referencia al Componente Fsico (hardware) de los
sistemas de informacin y comunicacin como el medio utilizado para realizar la captura, procesamiento,
almacenamiento, difusin y divulgacin de la informacin, es deseable que se utilicen las tecnologas
de punta para lograr una gestin oportuna y eficiente en almacenaje y procesamiento de datos y en la
ampliacin de la cobertura de informacin a difundir35. En este sentido, se refiere a todos los elementos
fsicos que permiten el correcto funcionamiento de un medio informtico. Incluye redes, discos duros o
extrables, impresoras, servidores, computadoras, dispositivos mviles, entre otros.
Para facilidad de manejo de este tipo de activos, los mismos pueden ser agrupados segn sus caractersticas
(por ejemplo: equipos de cmputo personales; dispositivos mviles o celulares).
Servicios: hace referencia a aquellas actividades realizadas por personas, dependencias o entidades
ajenas al proceso, que facilitan la administracin o flujo de la informacin generada por el proceso. En esta
tipologa se encuentra la intranet, el internet, el correo electrnico, el servicio de fotocopiado, el servicio de
correspondencia, el servicio de ingreso a la entidad, entre otros.
Teniendo en cuenta que para estas tipologas de activos no se requiere realizar una caracterizacin como la
trabajada para la tipologa datos o informacin, se propone manejar un formato diferenciado que d cuenta
de los requisitos apropiados para estas tipologas, basado en los requisitos de la NTC-ISO/IEC 27000 (numeral
4.1.2. del presente documento), como se presenta a continuacin:
23
Dependencia responsable: registrar el nombre de la dependencia a la cual pertenece el lder del proceso.
Fecha de elaboracin / validacin: registrar la fecha de elaboracin y validacin del Registro de Activos
de Informacin.
Nombre del Activo de Informacin: diligenciar el nombre del activo de informacin.
Descripcin: realizar la descripcin general del activo de informacin.
Tipologa: seleccionar la tipologa del activo teniendo en cuenta lo siguiente:
Software: marcar con una X si el activo hace referencia al conjunto de programas, instrucciones y reglas
informticas para ejecutar ciertas tareas en una computadora.
Hardware: marcar con una X si el activo hace referencia al conjunto de los componentes que integran la
parte material de una computadora.
Clasificacin del activo de informacin: Indicar la clasificacin del activo de informacin de conformidad
con su criticidad de uso, teniendo en cuenta lo siguiente:
El activo es crtico para las operaciones internas: Hace referencia al uso del activo para el desarrollo de los
procesos de la entidad. Se califica entre bajo, medio y alto.
Bajo. Se refiere a que el activo es usado para el desarrollo de un proceso de la entidad;
Medio. Se refiere a que el activo es usado para el desarrollo de varios proceso de la entidad;
Alto: Se refiere a que el activo es usado para el desarrollo de todos los procesos de la entidad;
El activo es crtico para el servicio a terceros: Hace referencia al uso del activo como insumo o herramienta
para la prestacin de servicios a terceros (usuarios y partes interesadas). Se califica entre bajo, medio y alto.
Bajo. Se refiere a que el activo no es usado para la prestacin de servicios a terceros;
Servicios: marcar con una X si el activo hace referencia a aquellas actividades realizadas por personas,
dependencias o entidades ajenas al proceso, que facilitan la administracin o flujo de la informacin
generada por el proceso.
Medio. Se refiere a que el activo es usado para la prestacin de servicios a algunos usuarios y partes
interesadas;
Alto. Se refiere a que el activo es usado para la prestacin de servicios a los usuarios y partes interesadas;
Custodio de la informacin: indique el cargo del custodio de la informacin, es decir la persona que realiza
el control en el acceso al activo de informacin. En caso de que el custodio sea un tercero, indicar la empresa
y cargo del mismo.
Localizacin del activo: indicar la ubicacin fsica del activo de informacin.
24
ANEXOS
ANEXO 1. REGISTRO DE ACTIVOS DE INFORMACIN TIPO DATOS E INFORMACIN
Tipo documental
Elaborado por
Aprobado por
Firma
Firma
Cargo
Cargo
Lugar y Fecha
Lugar y Fecha
Serie
Subserie
Descripcin de la
categora de
informacin
Reservada
Presentacin de la
informacin (formato)
Pblica
Descripcin del
soporte
Clasificada
Idioma
Interno
Definicin
Externo
Digital
Descripcin del
soporte
Cdigo del
formato
Electrnico
Cdigo del
Procedimiento
Anlogo
Norma, funcin
o proceso
Tipo de
origen
Custodio de la
informacin
Estado de la
informacin
Localizacin
del documento
o del activo de
informacin
Publicada en
(link pgina
web)
rea /
Dependencia
ANEXOS
ANEXO 2. INVENTARIO DE ACTIVOS DE INFORMACIN TIPO HARDWARE, SOFTWARE Y SERVICIOS
INVENTARIO DE ACTIVOS DE INFORMACIN, SOFTWARE, HARDWARE Y SERVICIOS
NOMBRE DEL PROCESO
LDER DEL PROCESO (RESPONSABLE DE LOS ACTIVOS DE INFORMACIN)
UNIDAD ADMINISTRATIVA / DEPENDENCIA RESPONSABLE
Fecha de elaboracin/ validacin:
Clasificacin del activo de informacin
Tipologa
Elaborado por
Firma
Cargo
Lugar y Fecha
Servicios
Descripcin del
Activo de
Informacin
Hardware
Nombre del
Activo de
Informacin
Bajo
Medio
Alto
Bajo
Medio
Alto
Custodio del
activo de
informacin
Localizacin del
activo de
informacin
BIBLIOGRAFA
COLOMBIA. ARCHIVO GENERAL DE LA NACIN. Acuerdo 027 de 2006 por el cual se modifica el Acuerdo No. 07 de 29 de junio
de 1994. En: Diario Oficial No. 46.528 (ene., 2007) p. 40-43.
COLOMBIA. CONGRESO DE COLOMBIA. Ley 594 del 2000 por medio de la cual se dicta la Ley General de Archivos y se dictan
otras disposiciones. En: Diario Oficial. No. 44084.
________ Ley 1712 de 2014 por medio de la cual se crea la Ley de transparencia y del derecho de acceso a la informacin pblica
nacional y se dictan otras disposiciones. En: Diario Oficial. No. 49.084 (mar., 2014) p. 1-61
COLOMBIA. DEPARTAMENTO ADMINISTRATIVO DE LA FUNCIN PBLICA Norma Tcnica de Calidad en la Gestin Pblica.
Bogot D.C.: Departamento Administrativo de la Funcin Pblica, 2009. 88 p. (NTCGP 1000:2009). Disponible en <http://portal.dafp.
gov.co/form/formularios.retrive_publicaciones?no=628>
________ Manual tcnico del Modelo Estndar de Control Interno para el Estado Colombiano MECI 2014. Bogot D.C.: Departamento
Administrativo de la Funcin Pblica, 2009. 132 p. Disponible en <http:// http://portal.dafp.gov.co/form/formularios.retrive_
publicaciones?no=2162>
COLOMBIA. PRESIDENCIA DE LA REPBLICA. Decreto 2573 de 2014 por el cual se establecen los lineamientos generales de la
Estrategia de Gobierno en lnea, se reglamenta parcialmente la Ley 1341 de 2009 y se dictan otras disposiciones. En: Diario Oficial
No.49.363 (dic., 2014) p. 23-26
________ Decreto Nacional 103 de 2015 por el cual se reglamenta parcialmente la Ley 1712 de 2014 y se dictan otras disposiciones.
Disponible en <http://www.archivogeneral.gov.co/sites/all/themes/nevia/PDF/Transparencia/DECRETO_103_DE_2015.pdf>
COLOMBIA.
MINISTERIO DE TECNOLOGAS DE LA INFORMACIN Y COMUNICACIONES, Estrategia de Gobierno en
Lnea. <http://programa.gobiernoenlinea.gov.co/apc-aa-files/eb0df10529195223c011ca6762bfe39e/manual-3.1.pdf>
________ Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de la seguridad de la informacin (SGSI).
Requisitos. Bogot D.C.: ICONTEC, 2013. 37p.: il. (NTC-ICO/IEC 27001)
________ Tecnologa de la informacin. Tcnicas de seguridad. Gua de implementacin de un sistema de gestin de la seguridad de
la informacin. Bogot D.C.: ICONTEC, 2012. 72?p.: il. (GTC-ISO/IEC 27003)
SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. COMISIN DISTRITAL DE SISTEMAS. Resolucin 305
de 2008 por la cual se expiden polticas pblicas para las entidades, organismos y rganos de control del Distrito Capital, en materia
de Tecnologas de la Informacin y Comunicaciones respecto a la planeacin, seguridad, democratizacin, calidad, racionalizacin del
gasto, conectividad, infraestructura de Datos Espaciales y Software Libre. Disponible en <http://www.alcaldiabogota.gov.co/sisjur/
normas/Norma1.jsp?i=33486>
SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. Norma tcnica distrital del Sistema Integrado de Gestin
para las entidades distritales. Bogot D.C.: Secretara General, 2013. 56 p.:il. (NTD-SIG 001:2011)
SECRETARA GENERAL DE LA ALCALDA MAYOR DE BOGOT D.C. SISTEMA INTEGRADO DE GESTIN DISTRITAL.
Cuarto lineamiento: cuadro de caracterizacin documental como listado maestro de registros [en lnea]. Bogot: Secretara
General, 2014. 25 p.:il. Disponible en <http://www.secretariageneralalcaldiamayor.gov.co/sites/default/files/04%20Cuadro%20de%20
caracterizaci%C3%B3n%20documental%203.pdf>