PL-SI-PU-05 Política de Clasificación de la Información

Canal público / Política

La presente política es aplicable para la información que maneja SIFEI y que de soporte al proceso de CFDI.

Su objetivo es establecer la clasificación de la información de acuerdo a las disposiciones del IFAI, asegurar que la información reciba el nivel adecuado de protección de acuerdo a su clasificación, etiquetar y manejar la información de manera eficiente.

Compartir en redes sociales

Compartir enlace

Usar vinculo permanente para compartir en redes sociales

Compartir con un amigo

Por favor iniciar sesión para enviar esto document por correo!

Incrustar en tu sitio web

Seleccionar página de inicio

12. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 9 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 6. Validez y Gestión de la presente Política  El presente documento es válido a partir de su fecha de publicación  La revisión de la presente política se llevará a cabo : cada 12 meses o cuando ocurran cambios significativos.  El Propietario del presente documento es: el Jefe de Seguridad de la información . 7. Referencias Hernández, G. G. (23 de junio de 2017), PL - SI - PU - 05 - Política de Clasificación de la Información , Orizaba, Veracruz, México. Hernández, G. G. (23 de junio de 2017), PR - SI - CO - 04 - Procedimiento para la clasificación de la información , Orizaba, Veracruz, México. Hernández, G. G. (23 de junio de 2017), PR - SI - CO - 05 - Proced imiento para el etiquetado y manejo de la información , Orizaba, Veracruz, México. Hernández, G. G. (23 de junio de 2017), IF - SI - CO - 05 - Registro de Clasificación y etiquetado de la información , Orizaba, Veracruz, México.

9. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 6 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 Activo Reservada Confidencial Documentos electrónicos Únicamente las personas autorizadas tendrán acceso a los documentos. Cuando se intercambian archivos a través de servicios como FTP, mensajería instantánea, etc., estarán protegidos con clave. Únicamente las personas con autorización para este documento podrán acceder. Cuando se intercambian archivos a través de servicios como FTP, mensajería instantánea, etc., estarán protegidos con clave. Únicamente el propietario del documento podrá borrarlo. Sistemas de Información Únicamente las personas autorizadas tendrán acceso. El acceso al sistema de información estará protegid o por una clave segura. La pantalla se bloqueará automáticamente luego de 10 minutos de inactividad. El sistema de información estará ubicado en habitaciones con acceso físico controlado. Únicamente las personas autorizadas tendrán acceso. El acceso al s istema de información estará protegido por una clave segura. El acceso al sistema de información estará controlado mediante un proceso de autenticación. El sistema de información estará ubicado en habitaciones con acceso físico y controlado. Los datos s erán borrados con un algoritmo que garantice un borrado seguro. Controles de auditoría Únicamente las personas autorizadas tendrán acceso. El acceso al sistema de información estará protegido por una clave segura. La pantalla se bloqueará automáticamente luego de 10 minutos de inactividad. El sistema de información estará ubicado en habitaciones con acceso físico controlado. El acceso al sistema de información estará controlado mediante un proceso de autenticación. El sistema de información estará ubicad o en habitaciones con acceso físico controlado Los datos serán borrados con un algoritmo que garantice un borrado seguro. Correo electrónico Únicamente las personas autorizadas tendrán acceso. El remitente verificará cuidadosamente el destinatario y la documentación a enviar. Únicamente las personas autorizadas tendrán acceso. El remitente verificará cuidadosamente el destinatario y la documentación a enviar. Aplican todas las reglas mencionadas en la columna "Sistemas de información". Equipos Físicos L a información almacenada en los equipos físicos, estará bajo responsabilidad del usuario del equipo. Únicamente las personas autorizadas tendrán acceso. La información almacenada en los equipos físicos, estará bajo responsabilidad del usuario del equipo. Únicamente las personas autorizadas tendrán acceso. Soportes de almacenamiento electrónico Únicamente las personas autorizadas tendrán acceso. Los soportes o archivos estarán protegidos con clave. El documento que requiera enviarse fuera de la organización, se enviará por correo certificado. El soporte estará guardado únicamente en habitaciones con acceso físico controlado. El soporte se almacenará en un gabinete con llave. El documento que requiera enviarse fuera de la organización, se enviar á por correo certificado. Si el soporte requiere enviarse fuera de la organización deberá ser con previa autorización. Sólo el propietario del soporte podrá borrar sus datos o destruirlos. Los datos serán borrados con un algoritmo establecido por el Jefe d e Infraestructura que garantice un borrado seguro.

7. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 4 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 Nivel de Confidencialidad Descripción Criterios de Clasificación Restricciones de accesos y será utilizad a sobre la premisa de que la divulgación de la misma está estrictamente limitada y predeterminada a un número restringido de personas que asumen la responsabilidad de protegerla. Es la información personal o información sensible de terceros en pos esión de SIFEI; se trata además de información clave para SIFEI vinculada con el negocio y la información de aplicación industrial o comercial relacionada con el secreto industrial. impactos a la op eración y reputación de la empresa, sus accionistas, socios de negocio y clientes. un reducido grupo de personas dentro de la organización como lo son Directivos y Jefes de Área, así como para el responsable y propietario de la información. 3.1.2 Reclasificación La cla sificación de los activos de la empresa no necesariamente se mantendrá en la misma clasificación a la que fueron asignados. Por esta razón l os propietarios de los activos revisar án el nivel de confidencialidad de s us activos de información por lo menos cada dos años y evaluar án si es necesario cambiar el nivel de acuerdo a alguna n ueva política establecida por SIFEI . En caso de el propietario de los activos considere cambiar la cl asificación , deberá cambiar la etiquetar y notificar a los usuarios que correspondan . 3.1.3 Etiquetado de la información Una vez que se han clasificado los activos de la organización, l os niveles de confidencialidad son etiquetados de la siguiente forma:  Documentos en papel: la confidencialidad de este tipo de documentos se indica con una etiqueta física en la portada. Adicionalmente , el nivel de confidencialidad se indica también en la parte inferior como pi e de página del documento.  Documentos electróni cos: la confidencialidad de los documentos electrónicos se indica con un a e tiqueta en la portada . Adicionalmente , el nivel de confidencialidad se indica en la parte inferior como pie de página del documento. Finalmente , en la nomenclatura del documento s e indica el nivel de confidencialidad de acuerdo a alguna de las siguientes siglas : PU= Pública, RE= Reservada y CO= Confidencial .  Sistemas de información: el nivel de confidencialidad en aplicaciones y bases de datos se indica en la pantalla de acceso al sistema, así como también en la esquina superior derecha de cada pantalla consecutiva que muestra información confidencial.  Correo electrónico: tendrá la siguiente leyenda: Este correo electrónico es confidencial y/o puede contener información privilegiada. Si usted no es su destinatario o no es alguna persona autorizada por este para recibir sus correos electrónicos, NO deberá usted utilizar, copiar, revelar, o tomar ninguna acción

11. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 8 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 4.3 Cláusulas de clasificación de información  SIFEI establece que toda la información manejada, generada e intercambiada con el proveedor (Centro de datos) es clasificada como c onfidencial, teniendo el proveedor la responsabilidad de aplicar este carácter sobre la misma.  Se cumplirán, por parte del proveedor, los lineamientos y clasificación de la información establecidas por SIFEI para su gestión de la seguridad de la informaci ón.  Toda la información relacionada con las actividades de SIFEI y el proveedor se considera confidencial. El proveedor deberá cumplir las funciones y obligaciones aplicadas a la clasificación de la información según los lineamientos establecidos por la SIFEI .  La información de SIFEI así como la información propietaria de los clientes de la misma es confidencial, y no debe ser accedida, usada, transferida, modificada, revelada, destruida, o desechada a menos que SIFEI así lo disponga.  Se garantizará el manejo de la información de acuerdo al criterio de clasificación establecido .  Se prohíbe la transmisión de información de la compañía a otras organizaciones . 4.4 Manuales de clasificación de información para proveedores La información acerca de la clasific ación para proveedores se establece en el documento “ GU - SI - PU - 04 Manual de clasificación de información para proveedores”. 5. Medidas disciplinarias en caso de incumplimientos a la política En el caso de que un colaborador de SIFEI incumpla con alguna de l as políticas establecidas en el presente documento, se hará merecedor de las siguientes sanciones:  Amonestación verbal y registro de una falta de disciplina asentándose en Acta Administrativa. Lo anterior conforme lo señalado en el Artículo 41 del Reglamen to Interior de Trabajo, tomándose este acto como equivalente al señalado en el numeral e) “Incumplimiento de las actividades que deban desarrollar”. En caso de que la conducta sea reiterada, se aplica lo señalado en el Artículo 25 del mismo Reglamento en l o referente a:  Es causal de rescisión la acumulación de Actas Administrativas por falta de disciplina en el plazo allí señalado.

5. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 2 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 Actividad Jefe de Seguridad Jefe de Infraestructura Comité de Seguridad Propietarios de la información Terceros que se cumplan con los requerimientos de negocio Asegurar que los controles de seguridad aplicados sean consistentes con la clasificación realizada I R I A Determinar los niveles de acceso a la información R C I A Recibir información clasificada como publica. I R R=Responsable A=Asignado C=Consultado I=Informado 2. Definición de clasificación de la informaci ón Se entenderá por Clasificación de la información al acto por el cual se determina que la información que se posee como entidad es Reservada o Confidencial , lo anterior en términos del Artículo 2 párrafo I del Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, tomada como referencia normativa. Dado lo anterior SIFEI define la clasificación de la información como : La manera de identificar la información y e l impacto que ocasionaría su pérdida, difusión, acceso no autorizado, destrucción o alteración, aplicando para ello criterios de confidencialidad, integridad y disponibilidad. Así sabremos qué información debemos cifrar, quién puede utilizarla y quién es responsable de su seguridad . 3. Descripción de la política  Los titulares de las áreas en SIFEI llevarán a cabo la clasificación de la información en el momento en que: o Se genere, obtenga, adquiera o transforme la información  Los expedientes y documentos clasificados co mo reservados deberán llevar una leyenda que indique su carácter de reservado, la fecha de la clasificación, su fundamento legal, el periodo de reserva y la rúbrica del titular del área que lo reserva. Lo anterior en concordancia con el Artículo 30 del Reg lamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, tomada como referencia normativa.  La información confidencial no estará sujeta a plazos de vencimiento y tendrá ese carácter de manera indefinida. Lo anterior en co ncordancia con el Artículo 37 del Reglamento de la Ley Federal

10. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 7 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 4. Aspectos de clasificación de la información para proveedores 4.1 Directrices de clasificación de información para terceros SIFEI establece que la información para terceros es considerada como p ú blica y por lo tanto no representa un riesgo para la organización. L a Tabla 3 detalla el nivel de confidencialidad pública aplicada a la información para t erceros : Tabla 3 Nivel de clasificación Pública Nivel de Confidencialidad Descripción Criterios de Clasificación Restricciones de accesos Pública Se refiere a la información de uso general que por su contenido o contexto no requie re de protección especial y su distribución pública es a través de canales autorizados por la empresa. Esta clasificación incluye cualquier otra información que no se encuentre dentro de cualquiera de las otras clasificaciones, que no requiera protección c ontra accesos no autorizados. Hacer pública la información no representa ningún riesgo para la organización. La información se encuentra disponible para todo el público. 4.2 Criterios de clasificación Este nivel de clasificación está asignada a los activos que contengan lo siguiente: • Manuales de usuarios • Comunicados al público • Publicidad • Promociones Puede ser divulgada a cualquier persona que la requiera. El cri terio de clasificación es único. L os colaboradores de la compañía tienen la responsabilida d de no revelar o comunicar información confidencial o privilegiada a terceros.

1. Código XX - X9.9 - XX - XX - 99 Versión 1.0 Publicación dd/mmm/aaaa Política de clasificación y manejo de la información Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 12/05/2017 INFORMACIÓN PÚBLICA Páginas: En su totalidad Fecha: 12/05/2017 Fundamento Legal: Arts. 3, 110 Y 113 de la LFTAIPG, y 37 del RLFTAIPG Responsable que la clasifica Gloria Minerva González Hernández Jefe de Seguridad de la Información

8. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 5 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 basada en este correo electrónico o cualquier otra información incluida en el, favor de notificar al remitente de inmediato mediante el reenvío de este correo electrónico y borrar a continuación totalmente este correo electrónico y sus anexos. Thi s e - mail is confidential and/or may contain privileged information. If you are not the addressee or authorized to receive this for the addressee, you must not use, copy, disclose, or take any action based on this message or any other information herein, pl ease advise the sender immediately by reply this e - mail and delete this e - mail and its attachments  Soporte de almacenamiento electrónico físico (discos, tarjetas de memoria, etc.): el nivel de confidencialidad se indica sobre la superficie de cada soporte de almacenamiento .  Equipos f ísicos: el nivel de confidencialidad se indica en la parte de atrás del equipo físico mediante una etiqueta . 3.1.4 Manejo de Información clasificada  To do el persona l que tiene acceso a información clasificada seguir á las reglas enume ra das en la Tabla 2 . El Jefe de Seguridad de la Información aplica r á las acciones disciplinarias correspondientes cuando se in cumplan las reglas o cuando la información se transmit a a personas no autorizadas. Cada incidente relacionado con el manejo de i nformación clasificada debe ser reportado de acuerdo con lo definido en el documento PR - SI - CO - 17 Procedimiento para la Gestión de Incidentes y problemas .  La salida de los activos de información fuera de las instalaciones será únicamente con la autorización del responsable , de acuerdo a lo establecido en el documento PL - SI - PU - 07 Política de generación Reglas para el Uso Aceptable de la Información . Tabla 2 Reglas de Clasificación de la información Activo Reservada Confidencial Documentos en papel Únicamente las personas autorizadas tendrán acceso a la información. El documento que requiera enviarse fuera de la organización, se enviará por correo certificado. Los documentos serán retirados frecuentemente de impresoras y máquinas de fax. Únicamente las personas autorizadas tendrán acceso a la información. El documento será almacenado en un gabinete con llave. Los documentos serán transferidos dentro y fuera de la organización solamente dentro de un sobre cerrado. Los documentos qu e se envían fuera de la organización, serán con acuse de recibo. Los documentos serán retirados inmediatamente de impresoras y máquinas de fax. El fotocopiado de documentos será limitado y estará únicamente a cargo del propietario del documento. La docume ntación que requiera destruirse se convertirá en tiras que se mezclarán antes de enviar a la basura. Únicamente el propietario del documento podrá destruirlo.

3. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMACIÓN Página iii de iii D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 Versión 2.0 Publicación 11/05/2018 Contenido 1. Generalidades ................................ ................................ ................................ ................................ ................................ ................................ .......... 1 1.1 Objetivo ................................ ................................ ................................ ................................ ................................ ................................ ............... 1 1.2 Alcance ................................ ................................ ................................ ................................ ................................ ................................ ................ 1 1.3 Referencias Normativas ................................ ................................ ................................ ................................ ................................ ................ 1 1. 4 Términos y Definiciones ................................ ................................ ................................ ................................ ................................ ............... 1 1.5 Roles y responsabilidades ................................ ................................ ................................ ................................ ................................ ........... 1 2. Definición de clasificación de la información ................................ ................................ ................................ ................................ ............. 2 3. Descripción de la política ................................ ................................ ................................ ................................ ................................ ................... 2 3.1.1 Niveles de Confidencialidad ................................ ................................ ................................ ................................ ............................ 3 3.1.2 Reclasificación ................................ ................................ ................................ ................................ ................................ ....................... 4 3.1.3 Etiquetado de la información ................................ ................................ ................................ ................................ ......................... 4 3.1.4 Manejo de Información clasificada ................................ ................................ ................................ ................................ .............. 5 4. Aspectos de clasificación de la información para proveedores ................................ ................................ ................................ ......... 7 4.1 Directrices de clasificación de información para terceros ................................ ................................ ................................ ............. 7 4.2 Criterios de clasificación ................................ ................................ ................................ ................................ ................................ ............... 7 4.3 Cláusulas de clasificación de información ................................ ................................ ................................ ................................ ............ 8 4.4 Manuales de clasificación de información para proveedores ................................ ................................ ................................ ...... 8 5. Medidas disciplinarias en caso de incumplimientos a la política ................................ ................................ ................................ ...... 8 6. Validez y Gestión de la presente Política ................................ ................................ ................................ ................................ ..................... 9 7. Referencias ................................ ................................ ................................ ................................ ................................ ................................ ................ 9

6. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 3 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 de Transparencia y Acceso a la Información Pública Gubernamental, tomada como referencia normativa.  Los particulares que entreguen información confidencial, deberán señalar los documentos o las secciones de éstos que la contengan, así como el fundamento por el cual consideran que tenga ese carácter. Lo anterior en concordancia con los Artículo 19 y 38 del Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernament al, tomada como referencia normativa.  Todos los activos estarán registrados en un inventario indicando su propietario y el responsable del resguardo.  Debe existir un procedimiento formal de clasificación, etiquetado y manejo de información. 3.1.1 Niveles de Co nfidencialidad De acuerdo a las disposiciones del IFAI, t oda la información ser á clasificada en alguno de los siguientes niveles de confidencialidad presentados Tabla 1 : Tabla 1 Niveles de confidecialidad Nivel de Confidencialidad Descripción Criterios de Clasificación Restricciones de accesos Pública Se refiere a la información de uso general que por su contenido o contexto no requiere de protección especial y su distribución pública es a través de canales autorizados por la empresa. Esta clasificación incluye cualquier otra información que no se encuentre dentro de cualquiera de las otras clasificaciones , que no requiera protección contra accesos no autorizados . Hacer pública la información no representa ningún riesgo para la organización . La información se encuentra disponible para todo el público . Reservada Se refiere a la información cuya divulgación estará restringida únicamente al personal autorizado por el responsable de la misma. Esta clasificación aplica para información únicamente de uso interno de los procesos de negocio de SIFEI y que se requiere te n ga esta clasificación por un periodo de tiempo. El acceso no autorizado a la información podría dañar considerablemente el negocio y/o a la reputación de la organización . La información se encuentra disponible únicamente para un grupo específico de emplea dos y de terceros autorizados que laboren en SIFEI y que haya firmado el convenio de confidencialidad correspondiente , así como del responsable y propietario de la información. Confidencial Es el más alto nivel de clasificación de la información El acceso no autorizado a la información conlleva severos La información está disponible exclusivamente por parte de

4. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMA CIÓN Página 1 de 9 D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 PL - SI - PU - 05 Versión 2.0 1.0 Publicación 11/05/2018 15/05/2018 1. Generalidades 1.1 Objetivo Establecer la clasificación de la información de acuerdo a las disposiciones del IFAI , asegurar que la información reciba el nivel adecuado de protección de acuerdo a su clasificación , etiquetar y manejar la informaci ón de manera ef iciente. 1.2 Alcance La presente política es aplicable para la información que maneja SIFEI y que de soporte al proceso de CFDI. 1.3 Referencias Normativas Norma Control ISO/IEC 17799 Técnicas de Seguridad 7.2 Clasificación de la información ISO/IEC 27001:2013 Seguridad de la Información A8.2 Clasificación de la Información MATRIZ DE CONTROL S eñalada en la fracción II de la ficha 111/CFF del Anexo 1 - A de la RMF Código Fiscal de la Federación ( CFF ) 29, 29 - A Resolución Miscelánea Fiscal ( RMF ) 2018 Ley Federal De Protección de Datos Personales en posesión de los particulares 1.4 Términos y Definiciones Término Definición Activo Cualquier cosa que tenga valor para la empresa Clasificación Es la acción de organizar o situar algo según una determinada directiva. INAI Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales 1.5 Roles y responsabilidades Actividad Jefe de Seguridad Jefe de Infraestructura Comité de Seguridad Propietarios de la información Terceros Asignar los niveles adecuados de clasificación de la información R C I A Revisar periódicamente la clasificación de la información con el propósito de verificar C I R A

2. P OLÍTICA DE CLASIFICA CIÓN Y MANEJO DE LA INFORMACIÓN Página ii de iii D OCUMENTO C LASIFICADO COMO P ÚBLICO Código PL - SI - PU - 05 Versión 2.0 Publicación 11/05/2018 Control de Versiones Nombre Puesto No. Versión Modificaciones Fecha Firma Gloria Minerva González Hernández Jefe de Seguridad de la Información 1.0 Versión preliminar del documento. Cambio de plantilla 11/05/2018 Gloria Minerva González Hernández Jefe de Seguridad de la Información 2.0 Se agregan las siguientes secciones de acuerdo a la nueva matriz de controles establecida por el SAT  Roles y responsabilidades  Medidas disciplinarias en caso de incumplimiento  Aspectos de clasificación de la información para proveedores 11/05/2018 Control de Revisiones Nombre Puesto No. Versión Modificaciones Fecha Firma Asley Alberto Cristales Pavón Director de Operaciones 1.0 11/05/2018 Raquel Vásquez Ramirez Consultor Externo 2.0 Revisar y atender las nuevas observaciones del documento 11/05/2018 Control de Autorizaciones Nombre Puesto No. Versión Modificaciones Fecha Firma Juan Carlos González Hernández Director General 1.0 1 1 /05/2017 Juan Carlos González Hernández Director General 2.0 1 1 /05/2018

Vistas

  • 531 Vistas totales
  • 359 Vistas del sitio web
  • 172 Vistas incrustadas

Acciones

  • 0 Acciones Sociales
  • 0 Me gusta
  • 0 No me gusta
  • 0 Comentarios

Veces compartido

  • 0 Facebook
  • 0 Twitter
  • 0 LinkedIn
  • 0 Google+