lineamientos para el control de acceso y seguridad de la información NTC 15489

los lineamientos permitan proteger la Información a través de acciones de aseguramiento de la Información teniendo en cuenta los requisitos legales, tecnológicos, de seguridad y de la entidad alineados con el contexto de direccionamiento estratégico y de gestión del riesgo con el fin de asegurar el cumplimiento de la integridad, disponibilidad, legalidad y confidencialidad de la información.

BENEFICIOS: Los enfoques para la creación, captura y gestión de registros basados en los conceptos principios de esta norma aseguran que se creen, capturen y gestionen evidencia autorizada de negocio, y que estén a disposición de quienes los necesitan durante el tiempo que se requiera. Esto facilita lo siguiente:

a) Mejor transparencia y rendición de cuentas

b) Formulación de políticas eficaces.

c) Toma de decisiones informadas

d) Gestión de los riesgos de negocio,

e) Continuidad en caso de desastres

f) Protección de los derechos y obligaciones de organizaciones e individuos,

g) Protección y apoyo en litigios

h) Cumplimiento de la legislación y de reglamentos.

RELACION CON OTRAS NORMAS
Esta norma está diseñada como un recurso autónomo. Sin embargo, también es parte de una familia de normas sobre una variedad de aspectos de la creación, captura y gestión de registros. Estos documentos se enumeran en la bibliografía y se pueden consultar para obtener información más detallada sobre aspectos específicos de la gestión de registros. Establece requisitos con relación a los siguientes temas:

a) Roles y responsabilidades definidas

b) Procesos Sistemáticosopic

c) Seguimiento y evaluación

d) Revisión y mejorar

OBJETO Y CAMPO DE APLICACIÓN
Esta norma define los conceptos y los principios a partir de los Cuales se desarrollan enfoques para la Creación, captura y gestión de registros Describe los conceptos y los principios Relacionados con:

a) Registros, metadatos para registros y sistemas de registros.

b) Políticas responsabilidades asignadas, seguimiento y formación para apoyar la gestión eficaz de registros

c) Análisis recurrente del contexto de negocio e identificación de los requisitos de los registros

d) Controles de registros

e) Procesos para la creación, captura y gestión de registros.

PRINCIPIOS DE LA GESTION DE REGISTROS
La gestión de registros se basa en los siguientes principios:

a) La creación, captura y gestión de registro5 Son partes integrales de la dirección de negocio en cualquier contexto

b) Los registros, independientemente de su forma o estructura son evidencia autorizada de negocio Cuando poseen las características de autenticidad fiabilidad, integrada Usabilidad

c) Los registros se componen de contenido y de metadatos. Que describen el contexto e Contenido y la estructura de los registros así como su gestión a través del tiempo

REGISTRO Y SISTEMA DE REGISTRO
Generalidades
Los registros son evidencia de la actividad de negocio y de los activos de información Cualquier conjunto de información, independientemente de su estructura o forma se puede gestionar como un registro. Esto incluye información en forma de un documento, un conjunto de datos u otros tipos de información digital o analógica que sea cree capture o gestione en el Curso de negocio.

a) Crear y capturar información que cumpla los requisitos para evidencia de la actividad de negocio.

b) Tomar las acciones adecuadas para proteger su autenticidad, fiabilidad, integridad usabilidad como su contexto de negocio y l0s requisitos de su cambio de gestión a través del tiempo

Características de los registros autorizados
Autenticidad
Un registro autentico que puede demostrar que:

a) Es lo que declara ser.

b) Fue creado o enviado por el agente que declara haberlo creado o enviado.

c) Fue creado o enviado cuando se declaró

Deberían implementarse y documentarse reglas procesos políticas y procedimientos de negocio que controlen la creación, captura y gestión de registros (véase el numeral 62), para asegurar la autenticidad de los registros Los creadores de los registros deberían estar autorizados e identificados.

Fiabilidad
Un registro fiable es uno

a) de cuyo contenido se puede tener la certeza que es una representación completa y exacta de las transacciones, actividades o hechos de los que dan fe,

b) del cual se puede depender en el curso de transacciones o actividades posteriores.
Los registros deberían crearse en el momento del evento del cual dan cuenta o poco después, por individuos que tengan conocimiento directo de los hechos, o por sistemas usados rutinariamente para llevar a cabo la transacción.

IMPLEMENTACION DE LOS REQUISITOS DE LOS REGISTROS : los requisitos de los registros se pueden implementar mediante sistemas de registros y controles de estos: la implementar se debería apoyar asignando roles y responsabilidades, formación y seguimiento de la operación de los sistemas y del cumplimiento de las políticas y procedimientos.

CONTROLES DE REGISTROS. GENERALIDADES se deberian desarrollar controles de los registros para ayudar a cumplir con los requisitos de registros estos controles uncluyen lo siguiente:

a) esquema de metadatos

b) esquema de clasificacon de negocios

c) reglas de acceso y permisos

d) autoridades de disposición

los controles de los registros se pueden diseñar e implementar de diversas formas dependiendo del entorno techologico su diseño e implementacion deberian tener en cuenta la naturaleza de los sistemas de registros con los que necesita interactuar.

ESQUEMA DE METADATOS PARA LOS REGISTROS se deberían desarrollar esquemas de meta datos para definir los meta datos utilizados para identificar, describir y gestionar los registros. para que los registros posean las característica de los registros autorizado. los esquemas de los meta datos pueden relacionarse de diferente entidades. las entidades claves para la gestión de los registros siguientes

a) registros incluyen todos los niveles de agregación

b) agentes: incluyen las personas, unidades de negocio, tecnología o sistemas de negocio y registros.

c) negocio (o funcion): funciones de negocios , actividades y transacciones o procesos de trabajo

d)mandatos: leyes y otros requisitos que gobiernan el manejo de negocio y la creación y gestión de registros

e) relaciones: entre las entidades y los niveles de agregación.

REGLAS Y PERMISOS DE ACCESO se deberían desarrollar un conjunto de reglas que identifiquen los derechos de acceso y el régimen de permisos y restricciones aplicable a los registros. las categorías de las reglas de acceso y de permisos aplicables a los registros se deberían basar en los resultados de la valoración en particular en la identificación de agentes y en la determinación de los requisitos de los registros. las reglas de permisos y de accesos se asocian con:

a) agentes

b) actividades de negocios

c) registros

PROCESOS PARA LA CREACIÓN Y GESTIÓN DE REGISTROS los procesos para crear, capturar y gestionar los registros se deberían integrar a procedimientos y sistemas aplicables, incluidos los sistemas de registros y deberían involucrar el uso de los controles de registros, cuando sea necesario en procesos deberían estar apoyados en la política, en las responsabilidades designadas en procedimientos y en la formación estos procesos incluyen :

a) creacion de registros

b)captura de registros

c)clasificacion e indexacion:

d) control de acceso

e) almacenamiento de los registros

f) uso y reutilizacion

g) migración o conversión

h) disposicion