wordpress stats plugin
Inicio » Integrar las normas ISO 30300 con otros sistemas de gestión ISO

El control A.7.2 “Clasificación de la información” de la norma ISO 27001 y la norma ISO 30301 (1a parte)

Escrito por: el 16/04/2013

Como técnico preocupado por la adecuada gestión de la información y su seguridad, la llegada de la norma ISO 30300 me pareció muy relevante e interesante dado que un Sistema de Gestión Documental (SGD) puede ser un complemento perfecto a un Sistema de Gestión de la Seguridad de la Información (SGSI) si sirve como instrumento de apoyo y soporte para garantizar que los requisitos de protección son preservados a la vez que la documentación desarrolla su ciclo de vida en una organización.

Desde la perspectiva de la norma ISO 27001, una de las medidas de seguridad que más trabajo cuesta definir e implantar en toda organización es el objetivo de control “A.7.2.  Clasificación de información” que intenta asegurar que se aplica un nivel de protección adecuado a la información. Esta dificultad intrínseca se justifica por los siguientes motivos:

  • Supone reflexionar y tomar decisiones respecto a los diferentes niveles de seguridad a establecer según la actividad de la organización y sus necesidades de protección. Ello tiene como consecuencia también cambiar la forma de gestionar los diferentes tipos de documentos.
  • Tiene un alcance global dado que afecta a todo el personal de la organización porque deben conocer los criterios de clasificación y las pautas de tratamiento.
  • Supone un cambio en la cultura organizativa en la gestión documental dado que se definen requisitos para las fases de creación, almacenamiento, transporte o envío y destrucción de los documentos.

En ISO 27002, el objetivo de control A.7.2 tiene dos mecanismos de control posibles que hay que construir para lograr asegurar el tratamiento adecuado según los niveles de seguridad establecidos. Por tanto, tenemos los dos siguientes controles.

  • Control A.7.2.1. Directrices de clasificación que pretende lo siguiente: “La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización.”
  • Control A.7.2.2. Marcado y tratamiento de la información que pretende lo siguiente: “Se debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la Organización.”

Las consecuencias prácticas de estos dos controles es que la organización debe establecer diferentes niveles de clasificación de la información (Habitualmente representados por las etiquetas como “Publico”, “Uso interno”, “Confidencial”, “Reservado”) y definir en cada nivel qué tipos de acciones o protecciones se deben tomar en cada una de las fases de tratamiento (Creación, almacenamiento, distribución, transporte o destrucción).

Es necesario destacar que en este punto también entra en juego la legislación existente en diferentes materias como puede ser la legislación en materia de Administración electrónica (representada por el R.D. 3/2010 de Definición del Esquema Nacional de Seguridad) o la legislación en materia de protección de datos de Carácter Personal (representada por el R.D. 1720/2007 de desarrollo de la LOPD) .

¿Cómo afecta esta cuestión a la norma ISO 30301? En un próximo apunte hablaré sobre ello.

El blog “www.iso30300.es” es una iniciativa de ebla Gestió Documental S.L., consultoría especializada en gestión documental.

Escriba su comentario aquí: