Política de Clasificación y Manejo de Datos

[ORGANIZACION] deberá clasificar todos los datos en las siguientes categorías: Público (datos destinados a divulgación pública), Interno (datos para uso interno general), Confidencial (datos que requieren protección debido a sensibilidad empresarial) y Restringido (datos que requieren el nivel más alto de protección debido a requisitos regulatorios, legales o empresariales críticos).

Los datos deberán clasificarse según el impacto potencial de la divulgación, modificación o pérdida no autorizada, considerando requisitos legales, regulatorios, contractuales y empresariales.

Los propietarios de datos serán responsables de clasificar los datos dentro de su dominio y deberán revisar las clasificaciones al menos [PERSONALIZAR: anualmente/semestralmente].

Cuando se combinen datos de múltiples niveles de clasificación, el conjunto de datos combinado deberá clasificarse en el nivel más alto aplicable.

Datos públicos: No se requieren requisitos especiales de manejo. Pueden compartirse libremente de forma externa.

Datos internos: No deberán compartirse externamente sin autorización. Almacenados en sistemas gestionados por [ORGANIZACION]. Se requieren controles de acceso básicos.

Datos confidenciales: Acceso restringido al personal autorizado con necesidad empresarial. Cifrados en tránsito y en reposo. Acceso registrado y monitoreado. El intercambio requiere aprobación del propietario de datos.

Datos restringidos: Acceso restringido a individuos específicamente autorizados. Se requiere cifrado fuerte en tránsito y en reposo. Todo acceso registrado, monitoreado y auditado regularmente. Se requiere autenticación multifactor. El intercambio requiere aprobación de [PERSONALIZAR: CISO/ejecutivo] con justificación documentada.

Los activos de datos clasificados como Confidenciales o Restringidos deberán etiquetarse claramente con su nivel de clasificación en encabezados, pies de página o metadatos del documento.

Los archivos electrónicos deberán incluir metadatos de clasificación cuando sea técnicamente factible.

El correo electrónico que contenga datos Confidenciales o Restringidos deberá incluir el nivel de clasificación como prefijo en la línea de asunto (por ejemplo, [CONFIDENCIAL]).

[ORGANIZACION] deberá mantener documentación de los flujos de datos para datos Confidenciales y Restringidos, incluyendo: fuentes de datos, sistemas de procesamiento, ubicaciones de almacenamiento, rutas de transmisión y destinatarios autorizados.

La documentación de flujos de datos deberá revisarse y actualizarse al menos [PERSONALIZAR: anualmente/trimestralmente] o cuando ocurran cambios significativos.

Los flujos de datos sensibles deberán incluir la identificación de controles de protección de datos en cada etapa.