COLECCIÓN DE RECURSOS

Norma de clasificación de datos

El Estándar de Clasificación de Datos requiere que los departamentos categoricen y etiqueten o marquen los datos según niveles de clasificación y revisen la clasificación de los datos periódicamente.

Propósito y alcance

Este Estándar de Clasificación de Datos (Estándar) es un estándar de implementación de la próxima Política de Datos y la Política de Ciberseguridad de toda la Ciudad .

Las disposiciones de esta Norma se aplican a la Ciudad y el Condado de San Francisco (la Ciudad) y a los departamentos, agencias, oficinas, comisiones y otras unidades gubernamentales (departamentos) que la componen. Todos los empleados y otros usuarios de datos (definidos a continuación) son responsables de cumplir con esta Norma.

Esta Norma no altera los requisitos de acceso a la información pública. Las solicitudes de la Ley de Registros Públicos de California o la Ordenanza Sunshine de San Francisco y otras obligaciones legales pueden exigir la divulgación o liberación de datos de cualquier clasificación.

Requisitos

Los departamentos deben:

  1. Clasificar y etiquetar o marcar los datos según los niveles de clasificación que se indican en la Tabla 2 a continuación como parte del proceso de inventario anual de datos establecido en la Política de datos . Cuando se almacenan varias clases de datos dentro de un solo sistema, los departamentos deben priorizar la clasificación del sistema (no de los conjuntos de datos individuales) según la clasificación más alta de los datos que contiene. Sin embargo, esto no debe obstaculizar el objetivo de seguridad de “disponibilidad”, como se establece en la Tabla 1 a continuación.

  2. Revisar la clasificación de los datos periódicamente, pero al menos una vez al año, como parte del proceso de inventario anual de datos establecido en la Política de Datos .

  3. Revisar y modificar la clasificación de datos según corresponda cuando los datos se desidentifiquen, combinen o agreguen.

Los departamentos deben seguir las pautas siguientes al utilizar esta Norma:

  1. Apéndice A, que proporciona un procedimiento paso a paso para clasificar datos de acuerdo con este esquema de clasificación de datos.

  2. Apéndice B, que proporciona ejemplos de datos en cada nivel de clasificación.

Una vez clasificados los datos, los Departamentos deberán consultar:

  1. La Política de Ciberseguridad de toda la Ciudad y sus estándares asociados para el marco y la metodología de evaluación de riesgos para seleccionar controles de seguridad apropiados para las clases de datos que recopilan y mantienen.

  2. La Política de Datos y sus normas asociadas para la gestión de datos y los principios de privacidad que se aplican a las clases de datos que recopilan y mantienen.

 

Aprobado el 27 de octubre de 2017

Documentos

COIT Data Classification Standard

COIT Data Classification Standard - download full policy document

2017-10-27