CLASIFICACIÓN Y ETIQUETADO DE LA INFORMACIÓN

Transcripción

1 MC-pr-01 MANEJO DEL REGISTRO NACIONAL DE Septiembre 2012 PROFESIONALES Pág.1/27 CLASIFICACIÓN Y ETIQUETADO DE LA INFORMACIÓN

2 Pág.2/27 1. OBJETIVO Y ALCANCE 1.1. Objetivo Determinar el nivel de criticidad y el valor de la información para el COPNIA, con el fin de identificar los controles de seguridad requeridos para salvaguardarla adecuadamente, así como los controles y autorización de acceso por parte de los funcionarios y terceras personas que apoyan las actividades del COPNIA Alcance Clasificar y etiquetar la información generada en el COPNIA, para determinar los controles adecuados para su seguridad. 2. NORMATIVIDAD Tipo Número Tipo Fecha Ley de Transparencia y Acceso a la Información Pública Ley 1712 Ley 1266 Ley 1581 Objeto. El objeto de la presente leyes regular el derecho de acceso a la información pública, los procedimientos para el ejercicio y garantía del derecho y las excepciones a la publicidad de información Ley Habeas Data La cual dicta disposiciones generales del Habeas Data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países Ley de Protección de Datos Por la cual se desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las información que se hayan recogido sobre ellas en bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado en el artículo 20 de la misma. 6 Marzo Diciembre / Octubre 2012

3 Pág.3/27 3. DEFINICIONES 3.1. Titular de la información: Es la persona natural o jurídica a quien se refiere la información que reposa en un banco de datos y sujeto del derecho de hábeas data y demás derechos y garantías a que se refiere la presente ley; 3.2. Usuario: El usuario es la persona natural o jurídica que, en los términos y circunstancias previstos, puede acceder a información personal de uno o varios titulares de la información suministrada por el operador o por la fuente, o directamente por el titular de la información. El usuario, en cuanto tiene acceso a información personal de terceros, se sujeta al cumplimiento de los deberes y responsabilidades previstos para garantizar la protección de los derechos del titular de los datos Dato personal: Es cualquier pieza de información vinculada a una o varias personas determinadas o determinables o que puedan asociarse con una persona natural o jurídica. Los datos personales pueden ser públicos, semiprivados o privados; 3.4. Dato público: Es el dato calificado como tal según los mandatos de la ley o de la Constitución Política y todos aquellos que no sean semiprivados o privados, de conformidad con presente ley. Son públicos, entre otros, los datos contenidos en documentos públicos, sentencias judiciales debidamente ejecutoriadas que no estén sometidos a reserva y los relativos al estado civil de las personas; 3.5. Dato semiprivado: Es semiprivado el dato que no tiene naturaleza íntima, reservada, ni pública y cuyo conocimiento o divulgación puede interesar no sólo a su titular sino a cierto sector o grupo de personas o a la sociedad en general, como el dato financiero y crediticio de actividad comercial o de servicios Dato privado. Es el dato que por su naturaleza íntima o reservada sólo es relevante para el titular Datos personales sensibles. se entiende por datos sensibles aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos.

4 Pág.4/27 4. CONDICIONES GENERALES 4.1. Las áreas del COPNIA deberán clasificar su información de acuerdo a su valor y criticidad. Esta clasificación debe realizarse de acuerdo a las necesidades que tiene el área de compartir o restringir la información, los requerimientos de seguridad en términos de confidencialidad, integridad y disponibilidad, y con base al impacto que pudiera provocar en términos económicos, operativos, legales e imagen institucional El dueño o propietario de la información, será el responsable de definir la categoría en la que cada activo de información se encuentra, así como determinar si es necesario un proceso de reclasificación y los controles requeridos para su protección Para la clasificación de la información el COPNIA adoptará el siguiente esquema: Publica: El COPNIA establece que la información pública es aquella que ha sido declarado de conocimiento público por parte de la persona con autoridad para hacerlo o por alguna norma jurídica. Esta información puede ser entregada o publicada sin restricciones a terceros, funcionarios o cualquier persona sin ocasionar daños a terceros ni a los procesos de negocio del COPNIA. Confidencial: El COPNIA establece que la información confidencial es toda aquella que no es pública. Y a la información pública solo pueden tener acceso las personas que han sido declaradas usuarios legítimos de esta información con privilegios asignados, como se expresa en la matriz de activos de información y en el procedimiento de gestión de activos de información. Los niveles de confidencialidad de los activos de información del COPNIA son los siguientes: o Uso Interno: Es la información que es utilizada por el COPNIA para realizar sus labores en los procesos y que no puede ser utilizada por terceros sin autorización del propietarios del activo de información. En caso de ser conocida, utilizada o modificada por personas no autorizadas impactaría de manera leve a los procesos de la entidad.

5 Pág.5/27 o Restringida: Información que es utilizada por solo un grupo de funcionarios del COPNIA para realizar sus labores y que no puede ser conocida por otros funcionarios o terceros sin previa autorización del propietario del activo de información. En caso de ser conocida, utilizada o modificada por personas no autorizadas impactaría de manera importante a los procesos de la entidad. o Altamente Restringida: Información que es utilizada por solo un grupo de funcionarios del COPNIA para realizar sus labores y que no puede ser conocida por otros funcionarios o terceros sin previa autorización del COPNIA. En caso de ser conocida, utilizada o modificada por personas no autorizadas impactaría de manera grave a los procesos de la entidad. Se deberían imprimir o estampar clasificaciones de seguridad en la parte central superior e inferior de cada página de los documentos. La codificación por colores hace más fácil la identificación de las clasificaciones. Los colores aceptados para las clasificaciones son:

6 Pág.6/ Toda la información que se maneja dentro de cada una de las Áreas tendrá carácter de CONFIDENCIAL hasta que se apruebe otro tipo de clasificación Etiquetado y manejo de la información: Los documentos con información del tipo restringida deberán ser controlados por medio de copias individuales perfectamente numeradas y registro de las personas que han tenido acceso. La copia o transferencia de información restringida por cualquier medio (electrónico, magnético, en papel) deberá estar autorizada y controlada. Todos los documentos del tipo Altamente Restringida se deberán conservar bajo llave y en lugares seguros. El envío de documentos con clasificación Confidencial (De Uso Interno, Restringida y Altamente Restringido), se deberá hacer por medio de canales seguros tales como mensajería privada, correo electrónico cifrado o entrega personal. En caso de hacerse por medio de forma física, los paquetes deberán estar debidamente cerrados y que sea imposible observar su contenido. Toda recepción de información confidencial deberá solicitar acuse de recibo. En caso de ser necesario, se considerará un procedimiento o centro de destrucción de documentos y activos de información que garantice la no reutilización de la información. La destrucción de registros e información del COPNIA debe ser formalmente autorizada por el responsable. La información Confidencial (De Uso Interno, Restringida y Altamente Restringido) deberá reflejar por medio de una leyenda, la clasificación a la que pertenece, sin importar la forma o medio en la que se encuentre para ello se debe tener en cuenta la ilustración del punto 4.3. El COPNIA, a través de sus instancias correspondientes, se reserva el derecho de iniciar denuncias, y procesos disciplinarios para sancionar a los funcionarios que divulguen o destruyan ilícitamente la información de la entidad.

7 Pág.7/ Se deben tener en cuenta los siguientes lineamientos o controles para el manejo y transporte de información confidencial. Política de control de acceso a la información Proceso Disciplinario Propiedad de los activos Devolución de Activos Clasificación de la información Etiquetado de la información Manejo de Activos Transferencia de medios físicos 5. DESCRIPCIÓN DE LA ACTIVIDAD No. Nombre de la Actividad Descripción 1 Inicio del procedimiento 2 Clasificar Información 3 4 Firmar acuerdo de confidencialidad Asignar identificador del nivel de clasificación de los documentos la Información Determinar un nivel de clasificación de la información dentro de los 4 establecidos: pública, confidencial de uso interno, confidencial restringido y confidencial altamente restringido. Si la información es de tipo Confidencial (De Uso Interno, Restringida y Altamente Restringido), se debe firmar un acuerdo de confidencialidad. Asignar un identificador del nivel de clasificación de la información, cuando es creado, transportado y almacenado un documento. (Puede ser en el encabezado del documento, en el nombre del archivo, en la etiqueta del medio de almacenamiento, un sello sobre el Responsable Generador, dueño o responsable de la Información Usuario de la Información Generador, dueño o responsable de la Información

8 Pág.8/27 documento impreso, o una nota anexa). 5 Utilizar la Información de acuerdo con la tabla de clasificación de la misma; punto 4.3 de este documento. 6 Generar controles 7 Fin del procedimiento Nota: La información que se encuentre sin identificador se tratará como CONFIDENCIAL DE USO INTERNO hasta que el generador cambie su nivel de clasificación. Usar la información, transportarla y almacenarla de acuerdo con los niveles de clasificación de la Información. Generar los controles pertinentes de transporte y almacenamiento de la información, acorde con su nivel de clasificación. Usuario de la Información Generador, dueño o responsable de la Información 6. ANEXOS 6.1 Acuerdo de Confidencialidad de la Información. (SI-fr-15) 6.2 Ejemplos de etiquetado de información confidencial en documentos. 7. CONTROL DE CAMBIOS No. Fecha Descripción del cambio o modificación 1 Primera emisión

9 Pág.9/27 DIANA LORENA TORO BETANCUR CARLOS ROBERTO VALLEJO CUBILLOS CARLOS ALBERTO JARAMILLO JARAMILLO Consultor ADALID Prof. de Gestión de Sistemas Director General ELABORÓ REVISÓ APROBÓ ANEXO 6.1 SI-fr-15 ANEXO No. 01 AL CONTRATO DE TRABAJO SUSCRITO ENTRE xxxxxxxxxxxx Y xxxxxxxxxxxxx Entre los suscritos, COPNIA. y xxxxxxxxxxxxxx, identificados como aparece al pie de sus firmas y según la descripción que aquí se detalla, el primero en su calidad de EMPLEADOR y el segundo en su calidad de TRABAJADOR de conformidad con el contrato laboral suscrito entre las partes el día 17 de Febrero de 2014, hemos decidido suscribir el presente Acuerdo para salvaguardar la confidencialidad de la información intercambiada entre los contratantes y proteger los datos confidenciales de terceros, teniendo en cuenta: I. IDENTIFICACIÓN DE LAS PARTES: EL EMPLEADOR: COPNIA, con NIT. XXXXXXXX, representada legalmente por XXXXXXXXXXXXXXX, mayor de edad, vecino de Bogotá D.C., identificado con cédula de ciudadanía No. XXXXXX de Bogotá empresa dedicada XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX. EL TRABAJADOR: XXXXXXXXXXX, persona natural, identificada con cédula de ciudadanía número XXXXXXXXX de Ibagué, con domicilio en la XXXXXXXXXXX, Ingeniero de sistemas. II. CONSIDERACIONES PREVIAS EL TRABAJADOR declara que acepta que el polígrafo practicado previo al inicio de la relación laboral constituye parte integrante del presente contrato. De igual forma, acepta que debido a la información de carácter confidencial a la que tendrá acceso y conocimiento durante la vinculación laboral suscrita el día 17 de Febrero de 2014, accede a someterse a la prueba del

10 Pág.10/27 Polígrafo cuando así sea requerido por su EMPLEADOR durante el término pactado y/o cuando dicha medida sea informada por el mismo, los resultados arrojados, formarán parte integrante del contrato de trabajo. Considerando que el EMPLEADOR ha contratado los servicios profesionales del TRABAJADOR y que en tal razón, debe suministrarle información confidencial, propia y de terceros, en forma verbal o escrita, y que desea proteger dicha información de la forma estipulada en el presente Acuerdo y en consideración de las mutuas obligaciones y estipulaciones que se incluyen aquí, de cuya aceptación y obligatoriedad se da fe en el presente documento, LAS PARTES DE COMÚN ACUERDO ESTABLECEN: III. CLAUSULA PRIMERA: DEFINICIONES: 1.1 Por "Objeto" se entiende por todas las funciones contratadas por EL EMPLEADOR, específicamente las relacionadas con el desempeño de labores de carácter jurídico. 1.2 Por Dueño de la información, se entiende a COPNIA. 1.3 Por "Parte Receptora" se entiende a EL TRABAJADOR, quien recibe Información Confidencial de la otra parte en relación con el objeto. 1.4 Por "Información Confidencial" se entiende toda información o dato en cualquier medio referente a Información de servidores, cantidad, funcionamiento y destinación de los equipos de computación y los servidores, infraestructura tecnológica, acceso a expedientes, documentos de El Dueño de la Información o de terceros que en el desarrollo de las funciones se le otorgue al TRABAJADOR. 1.5 los asuntos comerciales, empresariales o técnicos de el Dueño de la Información, tanto en el pasado como en la actualidad y el futuro, incluido, pero sin limitarse a, lo siguiente: I) Los secretos industriales del Dueño de la Información, el software entregado para el cumplimiento de la labor contratada, know-how puesto en conocimiento de EL TRABAJADOR, información técnica o de productos, sus procedimientos, su contabilidad, sus disposiciones contractuales, sus proveedores tanto Nacionales como internacionales, personal vinculado directa o indirectamente ; (II) los secretos industriales, información técnica o de productos, comercio, contabilidad, disposiciones financieras o contractuales u otra información confidencial de terceros que se encuentre en posesión del Dueño de la Información en virtud de un acuerdo de confidencialidad; o bien (III) todo detalle sobre sus clientes o proveedores, en el pasado, el presente o el futuro, o sus operaciones, transacciones o asuntos que hayan llegado o puedan llegar al

11 Pág.11/27 conocimiento de la Parte Receptora durante las negociaciones o posteriormente, en caso de que las negociaciones den lugar a nuevos acuerdos con la parte contratante; (IV) toda comunicación entre el Dueño de la Información y la Parte Receptora referente a (I), (II) ó (III) de la presente cláusula e información a la que se puede acceder mediante la inspección o el análisis de todo material divulgado, bien por escrito o bien oralmente, incluidas las propias comunicaciones y el hecho de que dichas comunicaciones transmitan dicha información, con anterioridad o posterioridad de la fecha del presente Acuerdo, bien esté señalada como confidencial o no. 1.6 El término secretos industriales para efectos de este acuerdo, significa información confidencial: a) De la que potencial o directamente pueda obtenerse un beneficio económico derivado de la condición de no ser pública y generalmente conocida, y de no poder ser obtenible por terceros que podrían derivar un beneficio económico por su revelación y/o uso. b) Han sido producto de esfuerzos que bajo condiciones comerciales razonables requieran mantener su confidencialidad. La Parte Receptora se obliga a: IV. OBLIGACIONES DE LA PARTE RECEPTORA: 2.1 Mantener en absoluta reserva la Información Confidencial y Documentos de el Dueño de la Información, tomando en este sentido las mismas medidas de seguridad y ejerciendo los mismos cuidados que los aplicados por la Parte Receptora a su propia información confidencial; la Parte Receptora garantiza, además, que estas medidas y cuidados ofrecen una protección adecuada contra la divulgación, reproducción o utilización no autorizadas; 2.2 Permitir acceso a la Información Confidencial sólo a aquellas personas que necesiten verla y utilizarla por el Propósito, y a comunicar a cada una de dichas personas el carácter confidencial de la Información Confidencial antes de permitirles el acceso, con el fin de asegurar su cumplimiento con las disposiciones del presente Acuerdo; 2.3 Siempre que sea posible o siempre que se lo pida un representante de el Dueño de la Información, obtener de cualquier tercero al que la Parte Receptora desea o prevé divulgar Información Confidencial, un reconocimiento de confidencialidad por escrito, que tendrá el mismo valor del presente Acuerdo, y bajo petición prestar toda la asistencia que sea requerida por el Dueño de la Información para hacer cumplir tales obligaciones con el fin de proteger la Información Confidencial

12 Pág.12/ No reproducir, copiar, utilizar, vender, intercambiar, comercializar, divulgar, publicar, ningún documento que contenga Información Confidencial para un propósito distinto al establecido por el presente acuerdo; 2.5 Que la información confidencial revelada en desarrollo de este acuerdo solo podrá ser utilizada para que la Parte Receptora desarrolle el objeto contratado. 2.6 A devolver al Dueño de la Información toda la Información Confidencial física y toda copia de ella en el plazo de 5 días a partir de la recepción de una petición por escrito procedente de el Dueño de la Información o cuando el contrato se haya dado por terminado, con excepción de las copias incorporadas en los registros confidenciales permanentes de la Parte Receptora, o, por solicitud de el Dueño de la Información, la Parte Receptora deberá certificar por escrito que esta información y materiales han sido destruidos. V. CLÁUSULAS GENERALES: 5.1. En el evento de divulgación o uso no autorizado de información confidencial o de Secretos Industriales, ocurrida por revelaciones que haga la Parte Receptora, ésta deberá desplegar los esfuerzos necesarios para asistir a la Parte Contratante en la recuperación y prevención del uso, diseminación, venta, u otra disposición de dicha información. La obligación de asistir a la Parte Contratante se entenderá sin perjuicio de los demás derechos que tenga la Parte Contratante derivados de este acuerdo o de la ley El presente acuerdo no otorgará durante su vigencia o con posterioridad a su vencimiento, derecho alguno sobre patentes, marcas o licencias, o sobre cualquier otro derecho de propiedad industrial o intelectual perteneciente al Dueño de la Información. La titularidad sobre toda información confidencial o secreto industrial, divulgada en desarrollo del presente acuerdo, permanecerá en cabeza del Dueño de la Información Ninguna modificación, extensión o alteración al presente acuerdo, producirá efectos si no se encuentra suscrito por los representantes legales de ambas partes El presente Acuerdo se regirá y se elaborará de acuerdo con la legislación colombiana, y las partes reconocen expresamente la competencia exclusiva de los tribunales de la República de Colombia. EN VIRTUD DE LO CUAL el presente Acuerdo ha sido firmado en nombre de ambas partes por sus representantes debidamente autorizados en el día y el año que figura al inicio del presente Acuerdo y obligará a las partes firmantes, incluyendo a las personas que a él adhieran, a los empleados de las partes firmantes, a sus filiales y subsidiarias La Parte Receptora acuerda utilizar la información confidencial y los Secretos Industriales divulgados en desarrollo del presente acuerdo, solamente para el propósito contemplado en

13 Pág.13/27 él. Está prohibido a las partes utilizar la información confidencial y los secretos industriales obtenidos en desarrollo del presente acuerdo para competir de cualquier manera entre ellas La Parte Receptora reconoce que cualquier incumplimiento o violación de las provisiones contenidas en este acuerdo, resulta en un perjuicio continuo e irreparable para el Dueño de la Información y la Parte Contratante para los que no existe adecuada reparación legal. Los derechos, facultades, obligaciones e indemnizaciones contenidos en este acuerdo son adicionales a aquellos definidos en la ley. La Parte Receptora se obliga a indemnizar al Dueño de la Información por los daños y perjuicios que la violación de las disposiciones del presente acuerdo pueda generar, no obstante, la Parte Receptora acepta que el pago en dinero por daños y perjuicios no constituirá reparación suficiente y por lo tanto, el Dueño de la Información podrá instaurar las acciones correspondientes conforme a lo previsto en la ley, en caso del incumplimiento del presente acuerdo proveniente de la Parte Receptora. VI. NO COMPETENCIA El TRABAJADOR no podrá ejercer por cuenta propia o por intermedio de terceros, negocios, contratos, y/o desarrollo de actividades con los clientes, proveedores o personas tanto naturales como jurídicas de El EMPLEADOR, que constituyan su competencia directa o indirecta, durante la vigencia del contrato de trabajo suscrito y hasta 3 años posteriores a su terminación. VII. VIGENCIA El presente acuerdo así como las obligaciones aquí establecidas por las partes, tendrán una vigencia igual a la del contrato de trabajo suscrito y permanecerá vigente durante los tres (03) años subsiguientes a la terminación del mismo. En señal de haber leído y aprobado el contenido del presente documento, se suscriben a los diecisiete (17) días hábiles del mes de Febrero de EL EMPLEADOR, EL TRABAJADOR, COPNIA XXXXXXXXXXXXXXXXXX Representante Legal XXXXXXXXXXXXXXXXXXXXXXXXX C.C. XXXXXXXXXXXXX

14 Pág.14/27 ANEXO 6.2 Etiquetado de Documentos

15 Pág.15/27 Opción 1: Advertencia Acceso a Información Confidencial de Uso interno xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Opción 2: Advertencia Acceso a Información Confidencial Restringida xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx Opción 3: Advertencia Acceso a Información Confidencial Altamente Restringida xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx