Cómo clasificar la información según ISO 27001

Cómo clasificar la información según ISO 27001

Cómo clasificar la información según ISO 27001

Clasificar la información según ISO 27001

Clasificar la información según ISO 27001 es una de las partes de la misma de mayor relevancia y de los primeros aspectos a gestionar en el ámbito de la seguridad de la información. 

Hay muchos criterios a seguir de cara a realizar la clasificación de la información. En este artículo vamos a exponer cómo clasificar la información según ISO 27001 basándonos en criterios de confidencialidad, al ser ésta la manera más habitual de clasificar la información.

Proceso para gestionar la clasificación de la información

A continuación, presentamos el modelo de 4 pasos para clasificar la información según ISO 27001. Los cuatros pasos del mencionado proceso son:

1.-Realizar un inventario de Activos de Información (Registro de Activos)

Mediante este primer paso queremos conocer qué activos de la información tiene nuestra organización en su posesión, viendo además quiénes son los responsables de la misma, es decir quién su propietario.

CTA 27001 EBOOK BOTON

Descarga gratis e-book: La norma ISO 27001

2.-Clasificar los activos identificados

Cada organización puede clasificar la información de acuerdo a criterios y medios de comunicación diferentes. Así, a modo de ejemplo, y de acuerdo al medio de comunicación empleado, distinguimos entre documentos electrónicos y en papel, bases de datos, información transmitida verbalmente, correo electrónico, entre otras formas.

En cuanto a los criterios para su clasificación, tal como hemos comentado antes, vamos a basarnos en el carácter confidencial. ISO 27001 no plantea los niveles de clasificación a seguir, sino que da flexibilidad para que cada organización adopte aquel más empleado en función de la industria. Así, por ejemplo, para una organización de mediano tamaño, podríamos definir los siguientes 4 niveles para clasificar el carácter confidencial de su información:

  • Confidencial (cuando presenta un nivel mayor de confidencialidad).
  • Restringida (nivel medio de confidencialidad).
  • De uso interno (nivel más bajo de confidencialidad)
  • Público (cuando la información es accesible a todo el público)

De manera general, será el propietario de la información el encargado de realizar tal clasificación en base a los resultados de la evaluación de riesgos, el cual sigue la lógica de que mientras más valiosa sea una información, mayor será las consecuencias en caso de incumplir con su confidencialidad, de modo que el nivel de clasificación en base a ello será mayor.

3.- Etiquetar los Activos

En este punto, de nuevo la norma ISO 27001 no es preceptiva. Cada organización debe elaborar su propias normas para el etiquetado de los activos de información que ha clasificado.

A modo de ejemplo, para la información almacenada en formato papel en la organización, la manera de etiquetarla, podría ser indicando el nivel de confidencialidad en la esquina superior del lado derecho de cada una de las páginas del documento en cuestión, así como en la cubierta del documento o en la carpeta dónde almacenemos el mismo.

Igualmente, esta tercera etapa es responsabilidad del propietario de la información en cuestión.

Cómo clasificar la información según #ISO27001

Click To Tweet

4.- Manejo de los activos de la información de manera segura

Cada organización debe detallar una serie de reglas para dar protección a las diferentes categorías de información que tiene clasificadas por su carácter confidencial y según el tipo de medio de comunicación en el que se encuentre. De nuevo la norma ISO 27001 permite flexibilidad para redactar tales normas.

Por ejemplo, para los documentos en formato papel físico, clasificados con un nivel de confidencialidad de Restringido, la organización puede definir como regla, que se almacenen en armarios con llaves, que la forma de transferirlos dentro y fuera sea siempre incluido en sobres cerrados y que en caso de ser enviados fuera de la organización, se haga siempre con acuse de recibo.

En definitiva, como podemos ver, el proceso de clasificar la información según ISO 27001 es complejo, pero gracias a la libertad que aporta la mencionada norma, es posible que cada organización ajuste tal proceso de acuerdo a sus necesidades particulares permitiendo asegurar la protección de su información confidencial.

Recomendamos la lectura de Cómo hacer rentable la certificación en ISO 27001.

Software ISO 27001

El Software  ISOTools Excellece te permite dar seguridad a la información contenida en tu organización. Mediante la automatización que aporta, es posible agilizar la gestión del Sistema de Gestión de la Seguridad de la Información, viéndose incrementada la eficiencia del mismo.

Si te estás planteando implementar en tu organización un SGSI según la norma ISO 27001, puedes solicitar que nuestros consultores contacten contigo para ofrecerte el asesoramiento que necesites.

CTA 27001 TIRA EBOOK

E-book gratis la norma ISO 27001
NEWSLETTER sidebar BLOG
Suscríbete al newsletter

Recibe semanalmente artículos y recursos exclusivos que te ayudarán en la gestión de tu organización

CTA SIDEBAR OHSAS
E-book gratuito: OHSAS 18001

¿Desea saber más?

Entradas relacionadas

Decreto 1072
El Ciclo PHVA para OHSAS 18001 y Decreto 1072 de 2015
29 diciembre, 2017

Decreto 1072 La norma OHSAS 18001 y el Decreto 1072 de 2015 siguen la metodología de mejora continua…

Ver más
Gestión De Riesgos
La gestión de riesgos en las normas ISO 9001 2015 e ISO 14001 2015
22 diciembre, 2017

Gestión de riesgos Las nuevas versiones de la norma ISO 9001 e ISO 14001 exigen que todas las…

Ver más
Software ISO 9001
¿Por qué automatizar un Sistema de Gestión de Calidad con un software ISO 9001?
15 diciembre, 2017

Software ISO 9001 Durante este artículo queremos que conozca cómo puede ayudarle el software ISO 9001 ISOTools. Es…

Ver más
Decreto 1072
¿Se deben conservar los documentos según el Decreto 1072?
8 diciembre, 2017

Decreto 1072 Conservar los documentos es necesario como medida preventiva adoptada para asegurar la integridad física y funcional…

Ver más
Volver arriba