RENAP

Licenciado

Dante Antonio Ávalos AguílarDirector de Gestión y Control Interno

Registro Nacional de las Personas -RENAP-Presente

Licenciado Ávalos:

DIRECCIÓN EJECUTIVA

Ref. DE-3204-2015

Guatemala, 14 de diciembre de 2015

Kfejgisiro Nacional de las Personas^RENAP

irzinmnr;:^

TOLINTERNORbCCiOH OL^

•Hora. /O'OO

Adjunto al presente se remite la "Guía para la Clasificación de la Información", el cual setraslada debidamente firmado por las áreas correspondientes y aprobadas por esteDespacho para que continúe con la divulgación e implementación del mismo.

Atentamente,

cx- Archivo

RLGR/alsc

Adjunto 01 Folder

Lic. Ru^ Leon^ Gallardo RosalesDirecto/r Ejecutivo

RENAP

Calzada Rooseveit 13-46, zona 7

3 Nivel Edificio RENAP CENTRAL

PBX 2416-1900 CALI CENTER: 1516 www renap gob gt

APROBACIÓN

In^Jose Jpr^e Afre Franco'efe de Píanifi'cásión yOrganización

de Geslión yCoÁt(0 InlernoSetísCentra! RSNAP Cü3*sfn¿^r£iiatemala

DIRECCIÓN EJECUTIVA

DTA-GUI-02-15

Registro Nacional de ios Personas

GUÍA PARA LA CLASIFICACIÓN DE LAINFORMACIÓN

Septiembre 2015

aA

Departamentgji^^anificacióny Organización 1

M.A. Antonio Avalos AguilarDireótbr tíá Gestión y Control Interno

'̂3d9 Cenírsf RENAP Gusfema/a, Guafemeía

ona^^^stión y Control Interno

B director ^'̂.'ECUTIVO V

osevelt 13-46, zona 7

GUÍA PARA LA CLASIFICACIÓN DE LA INFORMACIÓN

Introducción

Contenido

Septiembre 2015

Versión 1

Página 2 de 10

II. Objetivo del Documento 3

III. Activo de información 3

IV. Campo de Aplicación 4

V. Base Legal 4

VI. Monitoreo y seguimiento 4

Vil. Instrucciones 4

1. Inventario de activos de información 4

2. Tipo de activos 5

3. Información Pública y No Pública 6

4. Clasificación de los activos de información 6

5. Probabilidad (P) 6

6. Factores de impacto (I) 6

7. Evaluación de impacto del activo de información

Anexo 1 Formato de Activos de información 8

Anexo 2 Tabla Clasificación de la Información 9

Control de Cambios 10

GUÍAPARA LACLASIFICACIÓN DE LAINFORMACIÓN Septiembre 2015

Versión 1

Página 3 de 10

I. Introducción

El Registro Nacional de las Personas -REMAR-, cumpliendo con su visión de prestar servicio de

alta calidad y resguardo de la información de los ciudadanos como un activo valioso, utiliza el

Sistema de Gestión de la Seguridad de la Información -SGSI- IS027001:2013 para la

clasificación de la información, de acuerdo al nivel de sensibilidad de los activos de información

que son propiedad de la Institución, por lo anterior toda la información creada, procesada y

transmitida dentro y fuera del REMAR debe cumplir con las medidas de seguridad

correspondiente, para mitigar la probabilidad de pérdida o daño de acuerdo al impacto.

II. Objetivo del Documento

Proveer un documento técnico-administrativo que cumpla con los requerimientos establecidos en

la Norma ISO 27001:2013, en el cual se definen los criterios, esquemas de clasificación,

procedimientos y grado de protección para el manejo de activos de la información, así como las

medidas especiales necesarias para los diferentes grados de sensibilidad de la información;

garantizando así la confidencialidad, integridad y disponibilidad de la información en el proceso

de "Registro de Inscripción de Nacimientos Universal y Oportuno".

III. Activo de información

Se entiende por activo de información, todo lo que para la Institución representa valor y por ende

se debe proteger para evitar deterioro o pérdida antes, durante y después de su utilización;

cumpliendo de esta manera con la confidencialidad, integridad y disponibilidad de la información.

Los activos de información se encuentran básicamente en ficheros, bases de datos, contratos,

acuerdos, documentación del sistema, manuales técnicos-administrativos, material de formación,

capacitación, aplicaciones, software del sistema, equipos informáticos, equipo de

comunicaciones, servicios informáticos y de comunicaciones, así como también en el fondo

documental (libros registrales y documentos de atestados) que maneja el Registro Central de las

Personas y en el recurso humano de la Institución, que tiene contacto con los activos de la

información al momento de generar, procesar, trasmitir información de acuerdo a los roles y

responsabilidades.

Elaborado por: ^ Revisado por: Revisado por:

d«PianiKca^lón yOrjániucldn

JeEe do^nlficadón yOrganitación Director de Gestito y Contri :

Interno'

GUÍAPARALACLASIFICACIÓN DE LAINFORMACIÓN Septiembre 2015Versión 1

Página 4 de 10

IV. Campo de Aplicación

La presente guía será de aplicación y observancia obligatoria para todos los trabajadores que

laboran en el RENAP, a excepción de la Unidad de Auditoría Interna, la cual se basa de

conformidad con las Normas de Auditoría Gubernamental.

V. Base Legal

• Decreto número 90-2005 del Congreso de la República de Guatemala, Ley del Registro

Nacional de las Personas y sus reformas.

• Acuerdo de Directorio No. 51-2014, Reglamento Interior de trabajo del Registro Nacional

de las Personas -RENAP-.

• Decreto número 57-2008 del Congreso de la República de Guatemala, Ley de Acceso a

la información Pública.

VI. Monitoreo y seguimiento

Para garantizar la vigencia y efectividad del documento, cada Director que pertenece al RENAP,

debe mantener un proceso constante de revisión y solicitar la actualización oportuna para

realizar la inclusión de ajustes y modificaciones que se consideren pertinentes, debiendo

efectuarse cada vez que la guía establecida lo requiera.

Vil. Instrucciones

1. Inventario de activos de información

Cada Director del RENAP, deberá coordinar la clasificación de todos los activos de información

que tienen a su cargo, mediante "Formato de activos de información" {Anexo 1), en el cual se

debe detallar toda información que facilite su recuperación ante cualquier eventualidad. El

inventario de activos de información debe tener en cuenta que la propiedad y la clasificación de

la información, debe estar definida y documentada considerando los criterios:

Elaborado por:

(Oepartamei

O^ntiatUn

Revbado por:

Jefede PlanlÓcaÜón yOrganiiaclún:.

Remado por:

DIreaor de Cestlto f^ontr^interno

Apresado por

—

.jDirect^XIecirttvó

GUÍA PARA LA CLASIFICACIÓN DE LA INFORMACIÓN

• Confidencialidad

• Disponibilidad

• Integridad

• Legal

Ver Anexo 2 "Tabla para la clasificación de la Información'

2. Tipo de activos

Los tipos de activos que existen en el RENAP son:

a. Información:

a.1. Libros regístrales.

a.2. Documentos de atestados.

a.3. Contratos.

a.4. Acuerdos.

a.5. Documentos Técnico-Administrativos.

a.6. Documentos de correspondencia.

b. Software:

b.1. Apllcativos y sistemas operativos.

b.2. Bases de datos.

b.3. Licencias de software.

b.4. Libro virtual de Imágenes,

o. Activos físicos:

C.1. Equipo de cómputo.

C.2. Equipo de comunicaciones.

C.3. Dispositivos removióles,

d. Servicios:

d.1. Telecomunicaciones, energía eléctrica y aire acondicionado.

d.2. Personas, su calificación y habilidades.

Septiembre 2015

Versión 1

Página 5 de 10

Elaborado poi Ravisado por: Revteado por: Aprobado pon

St^^mentodaPtaiOficAyón y|:OrganlM^n'

jlj^deManifiad^iyOrganltacíún : OIractor deGestión yControlInterno

^ Director E^irtfw

GUÍA PARA LA CLASIFICACIÓN DE LA INFORMACIÓNSeptiembre 2015

Versión 1

Página 6 de 10

3. Información Pública y No Pública

La Constitución Política de la República de Guatemala y el Decreto número 57-2008 del Congreso

de la República de Guatemala "Ley de Acceso a la Información Pública", establece en su artículo1, numeral 6"Garantizar que toda persona tenga acceso a los actos de la administración pública".Por lo anterior, la información No Pública es todo el registro de las personas naturales que elRENAP como entidad autónoma, tiene a bien organizar y mantener dentro del marco legal.

4. Clasificación de los activos de información

Cada Director, deberá coordinar la clasificación de los activos de acuerdo a los criterios:Confidencialidad, Disponibilidad, Integridad y Legal que para la Institución representan riesgo.

5. Probabilidad (P)

Los activos de la información dados de alta deberán tener un análisis previo, basado en

antecedentes de pérdida o daño ocasionados a la Institución desde su formación o bien,considerar las amenazas que existen en el entorno. Los parámetros para ponderar la probabilidad

de pérdida o daño son: 1 Rara vez, 2 Poco probable, 3 Moderado, 4 Probable, 5 Casi cierto.

6. Factores de impacto (I)

Para los factores de impacto, se le asigna un valor a cada activo de la Información, de acuerdo a

la importancia que tiene para la Institución, basado en el impacto que tendrá el evento: 1 Nulo, 2Bajo, 3 Medio, 4 Alto, 5 Muy alto.

Para la clasificación de los activos, se deben considerar tanto el impacto que pueden sufrir los

activos de información, así como de la probabilidad de ocurrencia del evento que ponga en riesgo

la información de la Institución, por lo anterior se presenta la siguiente matriz en el cual se

presenta la metodología para la clasificación:

Impacto

Probabilidad

Muvbaio Baio Medio Alto Muy alto

1 2 3 4 5

Rara vez 1 Verde Verde Verde Amarillo Amarillo

Poco probable 2 Verde Verde Amarillo Amarillo Rojo

Moderado 3 Verde Amarillo Amarillo Amarillo Roio

Probable 4 Verde Amarillo Amarillo Roio Roio

Casi cierto 5 Amarillo Amarillo Rojo Rojo

% .DepartameM^e Plantflca^nyOrganitaclófl

Jefe de PtanMcaddn y Organitación Director de Gestión y ControlInterno

: Director Ejecutivo

GUÍAPARA LACLASIFICACIÓN DE LAINFORMACIÓN Septiembre 2015Versión 1

Página 7 de 10

7. Evaluación de Impacto del activo de información

La evaluación de impacto, se obtiene utilizando la formula de Riesgo, multiplicando la

Probabilidad x el Impacto, posteriormente se procede con la suma de cada uno de los valores

obtenidos, el cual debe tener una distribución equivalente a los criterios establecidos.

Como ejemplo de lo anterior, se presenta la evaluación de un activo de la información de los

"Documentos atestados":

Tipode Activo; Información Responsable del activo:

Descripción del Documentos atestados Información; Confidencial

Área del Registro Central de las personas Almacenamiento:

Criterio Probabilidad ¡PJ* Factores de Impacto j íEvaluadóndel impacto (Px1)

Confiabilidad 5 4 20

Integridad 5 4 20

Disponibilidad 3 2 6

Legal 5 5 25

Suma Evaluación de Impacto Rlesgo)/Crlterios 18

tyaípf delActivo Rango del Impacto Clasificación

Bajo 1-4 Información Pública

Medio 5-12 Uso Interno

Alto 13-25 Confidencial

Rango del Impacto 18

Valor del Activo Alto

Clasificación Confidencial

*1 Rara vez, 2 Poco probable, 3 Moderado, 4 Probable, 5 Casi cierto.** 1 Nulo, 2 Bajo, 3 Medio, 4 Alto, 5 Muy alto.

Para este ejemplo, el resultado de la evaluación del impacto "18", significa que la probabilidad de

pérdida del activo de información "Documentos atestados" representa un valor "Alto" para el

Registro Central de las Personas, por lo tanto la etiqueta de acuerdo a su clasificación es

"Confidencial".

Nota: Se debe tomar en cuenta que la evaluación del impacto, debe ser clasificado por cada activo de

información dado de alta.

Elaborado por

Departamento deMañiftc^iún yOrganluctófl

Revisado por:

Jefe de Pianiflcadón y Organlzacidn

Revisado por:

Directorde GestkSn y Contribktemo

Aprobado por:

DiAietorEjecutivo:

GUÍAPARA LACLASIFICACIÓN DE LAINFORMACIÓN

Anexo 1 Fonnato de Activos de información

Formato de activos de información

Sistema de gestión de seguridad de información180 27001:2013

SEDE/OFICINA:

Septiembre 2015Versión 1

Página 6 de 10

REJNAR

No. CódigoDescripción 'del activo

Tipo Almacenamiento::: Responsable

^del activo

Puesto delresponsable

Area delresponsable

Valor

del

Activo

Clasiflcaclón

1

2

3

4

5

6

7

6

9

10

11

12

13

14

Elaborado por:

Departamentcrde PlanlAcaíldnyOrganización

NOMENCLATURA

No. Código Activos de información

1 LR Libros regístrales

2 DA Documentos atestados

3 CO Contratos

4 AC Acuerdos

5 BD Bases de datos

6 •TA Documentos Técnico-Administrativos

7 MNP Manual de Normas y Procedimientos

8 POL Políticas

9 PRO Protocolos

10 GA Guías Administrativa

11 DDC Documentos de correspondencia

12 OF Oficios

13 CIR Circulares

14 ME Memorandos

15 PROV Providencias

16 CDO Control de oficios

17 MA Marginados

18 MES Memoriales

19 LE Leyes

20 RE Reglamentos

21 DE Decretos

Revisado por:

: Jefe de Planificación y Organización

Revisado por:

Director de Gestite yControlItitemo

Aprobado por

#=3

pirectóf EJectifiwó

GUÍA PARA LACLASIFICACIÓN DE LA INFORMACIÓN

Anexo 2 Tabla Clasificación de la Información

Septiembre 2015Versión 1

Página 9 de 10

Criterio Identificador Impacto Especificación del Criterio

Confiabilidad

Nulo El conocimiento o divulgación no autorizada de la información que gestiona este activo noimpacta negativamente a la Institución.

2 8ajo El conocimiento o divulgación no autorizada de la información que gestiona este activoimpacta negativamente al proceso evaluado.

3 Medio El conocimiento o divulgación no autorizada de la información que gestiona este activoimpacta negativamente no sólo el proceso evaluado sino otros procesos de la Institución.

4 Alto El conocimiento o divulgación no autorizada de la información que gestiona este activoimpacta negativamente a la Institución.

5 Muy alto Sí se compromete el activo o no se encuentra disponible, se perderá la confidencialidad delos ciudadanos.

Integridad

NuloLa pérdida de exactitud y estado completo del activo no impacta negativamente en elproceso.

2 BajoLa pérdida de exactitud y estado completo del activo impacta negativamente al procesoevaluado.

3 Medio La pérdida de exactitud y estado completo del activo impacta negativamente no sólo elproceso evaluado sino otros procesos de la Institudón.

4 Alto La pérdida de exactitud y estado completo del activo impacta negativamente la prestacióndel servicio a los ciudadanos.

5 Muy alto El activo de información es de interés público v muy difícilmente se podría recuperar.

Disponibilidad

NuloLa falta o no disponibilidad del activo de información no ímpacta negativamente a laInstitución.

2 BajoLa falta o no disponibilidad del activo de información impacta negativamente al procesoevaluado.

3 Medio La falta o no disponibilidad del activo de información impacta negativamente no sólo elproceso evaluado sino otros procesos de la Institución.

4 Alto La falta o no disponibilidad del activo de infonnación impacta negativamente la prestacióndel servido a los dudadanos o impacta negativamente a la Institudón.

5 Muy alto Intervención de la Institución por incumplimiento, derivado de ta falta de disponibilidad oafectación del activo.

----- •' • , . . ,,,

Legal

1 Nulo La Institución no se ve afectada si el activo no se encuentra disponible

2 Bajo Si ios usuarios se ven afectados por la disponibilidad o afectadón del activo, pero nosobrepasan ios umbrales estableddos.

3 Medio Existen quejas de parte de los dudadanos, derivadas de la disponibilidad y afectadón delactivo de información

4 AltoExisten denuncias ante autoridades, derivadas de la disponibilidad o afectadón del activode información.

5 Muy alto Intervención de la Institudón por incumplimiento, derivado de ta falta o afectación del activo.

Elaborado por; . Ravbado por;

/

Rtvtoado por;

1 I

Departamento 4a ^nlfwaclón yOffinbatiófl

iefe de Plantficadón y Organizácidn Diroctorde Gestión yControibitemo

. . 1 Plr^&otJiecutha»--''' ^i

GUÍA PARA LACLASIFICACIÓN DELAINFORMACIÓN

Control de Cambios

Septiembre 2015Versión 1

Página 10 de 10

^*Vereión Fecha No. Tollos . .4 if^l^lJmdades involucradasSeptiembre 2015 10 Dirección Ejecutiva