Objetivo
Todos los activos deberan tener un responsable y se debera asignar un dueo a cada uno de
ellos.
Se deberan identificar los dueos para todos los activos y se debera asignar la responsabilidad
del mantenimiento de los controles apropiados. La implementacin de controles sobre un activo
podra ser delegada por su dueo pero ste contina manteniendo la responsabilidad por la
proteccin del mismo.
Control
Todos los activos deberan ser claramente identificados y se debera realizar y mantener u n
inventario de los activos importantes.
Gua de implementacin
Asimismo, la propiedad (ver 1.1.1) y la clasificacin (ver 1.1) de la informacin debera ser acordada
y documentada para cada uno de los activos. Se deberan definir niveles de proteccin acordes a
la importancia del activo, su relevancia en el negocio y su clasificacin en relacin a la seguridad.
(Ms informacin de cmo valorar los activos para representar su importancia puede ser
encontrada en ISOIIEC TR 13335-3).
Informacin adicional
Los inventarios de activos ayudan a garantizar que se logra la proteccin eficaz de los activos pero
tambin pueden ser requeridos para otros propsitos del negocio, como por ejemplo por razones
de salud y seguridad, financieras o de seguros (gestin de activos). El proceso de compilar un
inventario de activos es un prerrequisito importante de la gestin de riesgos (ver tambin clusula
4).
Control
Gua de implementacin
asegurar que la informacin y los activos asociados con las instalaciones de procesamiento
de la informacin son clasificados en forma apropiada;
un proceso de negocio;
una aplicacin;
1
El trmino dueo identifica a un individuo o entidad que ha probado habilidades de gestin para controlar la produccin,
desarrollo, mantenimiento, uso y seguridad de un activo. El trmino dueo no significa que la persona tiene
efectivamente derechos de propiedad sobre el activo.
Informacin adicional
Las tareas rutinarias pueden ser delegadas, por ejemplo, a un guardia que vigile el activo
diariamente, pero la responsabilidad contina siendo del dueo.
En sistemas de informacin complejos puede resultar til designar un grupo de activos, los cuales
actan en forma conjunta para proveer una funcin particular como un servicio. En este caso el
dueo del servicio es responsable por la entrega del mismo, incluido el funcionamiento de los
activos que lo proveen.
Control
Gua de implementacin
Todos los empleados, contratistas, y usuarios de terceras partes deberan seguir las reglas para el
uso aceptable de la informacin y de los activos asociados con las instalaciones de procesamiento
de la informacin, incluyendo:
El gerente correspondiente debera suministrar las reglas o directrices especficas. Los empleados,
contratistas y usuarios de terceras partes que utilicen o tengan acceso a los activos de la
organizacin deberan estar conscientes de los lmites que existen para el uso de la informacin y
de los activos de la organizacin asociados con las instalaciones de procesamiento de informacin,
as como de los recursos. Se deberan responsabilizar del uso que hagan de los recursos de
procesamiento de informacin y de cualquier uso efectuado bajo su responsabilidad.
Objetivo
Control
Gua de implementacin
Debera ser responsabilidad del dueo del activo definir la clasificacin del mismo, revisarla
peridicamente y asegurar que est actualizada y en el nivel apropiado. La clasificacin debera
tener en cuenta el efecto de acumulacin mencionado en.
Informacin adicional
La informacin suele dejar de tener importancia o criticidad tras cierto tiempo, por ejemplo, cuando
se ha hecho pblica. Estos aspectos se deberan considerar, puesto que una sobre clasificacin
conllevara u n gasto adicional innecesario.
Control
Gua de implementacin
Los procedimientos para el etiquetado de la informacin han de cubrir los activos de informacin
en formato fsico y electrnico.
La salida procedente de los sistemas que traten informacin clasificada como sensible o crtica
debera llevar una etiqueta de clasificacin adecuada (en la salida). El etiquetado debera reflejar
la clasificacin de acuerdo con las reglas establecidas en 1.1.1. Los elementos a considerar
incluyen informes impresos, presentaciones en pantalla, medios de almacenamiento (cintas,
discos, CDs), mensajes electrnicos y transferencias de archivos.
Los acuerdos con otras organizaciones que impliquen compartir informacin deberan incluir
procedimientos para identificar la clasificacin de dicha informacin y para interpretar las etiquetas
de clasificacin de otras organizaciones.
Informacin adicional
El etiquetado y manejo seguro de la informacin es u n requisito clave para acuerdos que impliquen
compartir informacin. Las etiquetas fsicas suelen ser la forma ms comn de etiquetado. Sin
embargo, ciertos activos de informacin, como los documentos en formato electrnico no se
pueden marcar fsicamente y hay que usar medios electrnicos de marcado, por ejemplo,
desplegando marcas de notificacin en la pantalla. En donde el marcado no es posible, se pueden
aplicar otras maneras para la clasificacin, por ejemplo, por la va de procedimientos o meta-data.