Estándar de clasificación de datos

2 de septiembre de 2014

Objetivo

Esta norma establece requisitos de clasificación de datos para los organismos estatales con el objetivo de proteger la confidencialidad, la integridad y la disponibilidad de los datos estatales.

Descripción general

El estado de Iowa recopila y gestiona grandes cantidades de información tanto en formato impreso como electrónico. Parte de la información recopilada y gestionada por las agencias cuenta con protecciones especiales establecidas por la legislación estatal y federal. Las agencias son responsables de salvaguardar la información bajo su custodia.

La clasificación de datos proporciona un marco para la gestión de la información. Al clasificar la información, las agencias pueden tomar decisiones sobre cómo protegerla durante su creación, almacenamiento, transferencia y eliminación.

Alcance

Esta norma se aplica a todas las agencias según lo define el Capítulo 8A, Sección 101 del Código de Iowa. Se recomienda a las agencias que no participan que sigan las directrices contenidas en esta y otras políticas, normas, directrices, procesos y procedimientos a nivel empresarial.

Definiciones

A continuación se definen algunos términos seleccionados que se utilizan en el Estándar de Clasificación de Datos Empresariales:

Sistema de clasificación de datos: Un sistema/proceso para clasificar la información en categorías según el grado de protección que requiera.

Elementos

A continuación se detallan los elementos del Estándar de Seguridad para la Clasificación de Datos Empresariales.

1. Clasificación de datos: Todos los datos deben clasificarse según el nivel de protección requerido. Como mínimo, los datos deben clasificarse como:
   a. Confidencial: Información protegida por la ley estatal o federal, o
   b. Público - Información no incluida en una clasificación protegida.
   
   Se pueden utilizar clasificaciones adicionales para cumplir con los requisitos de la agencia. Por ejemplo, algunas organizaciones pueden utilizar la categoría de:
   c. Sensible: No está explícitamente protegido por la ley, pero la exposición podría tener un impacto negativo en los servicios gubernamentales, los socios del gobierno estatal o los ciudadanos.
2. Protección de datos: Los organismos deberán establecer requisitos de protección para cada nivel de clasificación de datos. Las medidas de protección deberán tener en cuenta los diferentes estados de los datos (es decir, en reposo, en tránsito, en uso y en su eliminación) y los formatos de los datos (electrónicos y en papel).
3. Revisiones: Los organismos deberán revisar anualmente su sistema de clasificación de datos y la información que recopilan para garantizar que los niveles de clasificación de datos sigan siendo válidos.
4. Evaluación: La ISO podrá evaluar el cumplimiento de esta norma por parte de las agencias. Las agencias deberán facilitar acceso a su norma de clasificación y a la documentación relativa a la clasificación de datos específicos. Si se detectan infracciones de esta norma, la agencia recibirá una notificación por escrito conforme a la norma IAC 11-25.11(8A).
5. Notificación: En la fecha de entrada en vigor de esta norma o antes de ella, los organismos proporcionarán al Director de Seguridad de la Información una descripción de cómo clasifican los datos y una descripción del estándar del organismo para proteger los datos en cada tipo de clasificación.
6. Inventario: Los organismos deberán completar un inventario de datos. El inventario deberá identificar la ubicación de la información confidencial (en papel y electrónica) recopilada por el organismo y el propietario de los datos.
7. Etiquetado: Los sistemas que contengan información confidencial deberán estar etiquetados como confidenciales (mediante una pantalla de inicio o un método similar). Los documentos en papel deberán estar etiquetados como confidenciales siempre que sea posible.

Actualizaciones

Este documento deberá revisarse al menos cada dos años y actualizarse según sea necesario.

Fecha de entrada en vigor

Esta norma entrará en vigor el 2 de septiembre de 2014.

Aplicación

Esta norma se aplicará de conformidad con el Código Administrativo de Iowa 11-25.11(8A).

Diferencia

El Código Administrativo de Iowa, sección 11 - 25.11(2), contempla excepciones a las normas de seguridad. Las solicitudes de excepción a cualquiera de los requisitos de esta política deberán presentarse por escrito al Director de Seguridad de la Información antes de su implementación.