¿Qué requiere el control A.3.5?
La información deberá clasificarse según las necesidades de seguridad de la información de la organización, teniendo en cuenta la información de identificación personal (IIP), en función de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.
Este control se encuentra dentro del controles de seguridad compartidos (Cuadro A.3). Amplía el requisito estándar de clasificación de la información ISO 27001 al explicitar que la información de identificación personal (PII) debe considerarse dentro del esquema de clasificación, y no tratarse como algo secundario.
¿Qué dicen las directrices de implementación?
El Anexo B (sección B.3.5) proporciona la siguiente orientación:
- El esquema de clasificación debería considerar explícitamente la información de identificación personal (PII) como categoría de información que requiere protección
- Comprende qué información personal identificable procesa la organizacióndónde se almacena y a través de qué sistemas puede circular
- Considere el gráfico tipo de PII y si incluye categorías especiales (por ejemplo, datos de salud, datos biométricos, origen racial o étnico).
- La clasificación debe guiar la aplicación de controles apropiados, y las clasificaciones más altas deben recibir una mayor protección.
- El plan debe ser práctico y aplicarse de forma coherente en toda la organización.
- Vea también A.3.20: Medios de almacenamiento para requisitos relacionados
- Vea también A.3.21: Eliminación segura o reutilización de equipos para requisitos relacionados
Las directrices reconocen que la información de identificación personal (IIP) no constituye una categoría única y homogénea. Una dirección de correo electrónico presenta un perfil de riesgo diferente al de un historial médico. El sistema de clasificación debe reflejar estas diferencias y garantizar una protección proporcional.
¿Cómo se relaciona esto con el RGPD?
El control A.3.5 se asigna a GDPR Artículo 5(1)(f) (integridad y confidencialidad) y artículo 32(2) (obligación de aplicar medidas técnicas y organizativas adecuadas para la seguridad del tratamiento). GDPR Se espera un enfoque de seguridad basado en el riesgo, y la clasificación es el mecanismo mediante el cual se asignan niveles de riesgo a los diferentes tipos de información.
Las categorías especiales de datos personales contempladas en el artículo 9 del RGPD deben recibir el nivel de clasificación más alto, lo que refleja las protecciones adicionales que exige el reglamento para este tipo de datos.
¿Cómo se relaciona esto con los principios de privacidad de la norma ISO 29100?
Como control de seguridad compartido, A.3.5 respalda el enfoque más amplio. ISO 29100, marco. La clasificación es un mecanismo de gobernanza fundamental que permite la aplicación coherente del principio de seguridad de la información en todos los tipos de información, prestando a la información de identificación personal la atención que requiere.
Comience fácilmente con una demostración personal del producto
Uno de nuestros especialistas en incorporación lo guiará a través de nuestra plataforma para ayudarlo a comenzar con confianza.
¿Qué tipo de evidencia esperan los auditores?
Al evaluar el cumplimiento de A.3.5, los auditores generalmente buscarán lo siguiente:
- Esquema de clasificación — Una política de clasificación documentada que incluya explícitamente la información de identificación personal (PII) y las categorías especiales de PII como consideraciones de clasificación.
- Inventario de datos — Un registro de la información personal identificable que procesa la organización, dónde se almacena y qué sistemas la gestionan.
- Decisiones de clasificación — Evidencia de que los activos que contienen información de identificación personal (PII) se han clasificado de acuerdo con el esquema (por ejemplo, bases de datos marcadas como "Confidenciales" o "Restringidas").
- Mapeo de controles — Evidencia de que los niveles de clasificación impulsan la aplicación de controles de seguridad (mayor clasificación = controles más estrictos)
- Formación y sensibilización. — Evidencia de que el personal comprende el esquema de clasificación y cómo aplicarlo a la información de identificación personal (PII).
¿Cuáles son los controles relacionados?
| Control | Relación |
|---|---|
| A.3.6 Etiquetado de la información | Una vez clasificada, la información debe etiquetarse de manera que la clasificación sea visible y aplicable. |
| A.3.3 Políticas de seguridad de la información | El esquema de clasificación debe estar definido dentro de la política de seguridad de la información o referenciado en ella. |
| A.3.7 Transferencia de información | Las normas de transferencia deben hacer referencia a los niveles de clasificación para determinar los mecanismos de transferencia adecuados. |
| A.3.8 Gestión de identidad | El acceso a la información de identificación personal (PII) de mayor clasificación debe restringirse mediante controles de gestión de identidad y acceso. |
| A.3.4 Funciones y responsabilidades | Los propietarios de la información (un rol definido) son responsables de las decisiones de clasificación. |
¿Qué cambios se produjeron con respecto a la norma ISO 27701:2019?
Para un enfoque paso a paso, consulte el Transición de 2019 a 2025.
En la edición de 2019, este requisito estaba cubierto por la cláusula 6.5.2.1. El contenido no ha cambiado, pero la reestructuración de 2025 integra el control de forma más clara en el marco de controles de seguridad compartidos. La guía de implementación en B.3.5 ahora enfatiza de forma más explícita la comprensión de los flujos de datos y las categorías especiales de PII como parte del proceso de clasificación. Véase la Tabla de correspondencias del Anexo F para el mapeo completo.
Gestione todo su cumplimiento, todo en un solo lugar
ISMS.online admite más de 100 estándares y regulaciones, lo que le brinda una única plataforma para todas sus necesidades de cumplimiento.
¿Por qué elegir SGSI.online ¿Para clasificar y proteger la información de identificación personal?
SGSI.online Te ayuda a crear y mantener un esquema práctico de clasificación de la información:
- Registro de activos con clasificación — Registre cada activo de información, asigne un nivel de clasificación y etiquete los activos que contengan información de identificación personal (PII) o categorías especiales de PII.
- Mapeo del flujo de datos — Visualice dónde se almacena la información de identificación personal (PII) y cómo se mueve a través de los sistemas, lo que facilita la identificación de los activos que necesitan atención en cuanto a su clasificación.
- Enlace de control — Asignar los niveles de clasificación a los controles de seguridad que deben aplicarse en cada nivel, garantizando una protección proporcional.
- Revisar flujos de trabajo — Programe revisiones periódicas de clasificación y realice un seguimiento de su finalización, para que las clasificaciones se mantengan actualizadas a medida que cambian las actividades de procesamiento.
- Herramientas de sensibilización — Distribuir la guía de clasificación al personal y realizar un seguimiento de la confirmación, lo que respalda la evidencia de capacitación que esperan los auditores.
Preguntas Frecuentes
¿Cómo debería encajar la información de identificación personal (PII) en un esquema de clasificación existente?
La mayoría de las organizaciones utilizan un sistema de clasificación por niveles (p. ej., Público, Interno, Confidencial, Restringido). La información de identificación personal (IIP) generalmente debe clasificarse como Confidencial o superior, y las categorías especiales de IIP (datos de salud, biométricos, raciales/étnicos) deben ubicarse en el nivel más alto. Si su sistema actual no cuenta con un nivel que refleje adecuadamente la sensibilidad de la IIP, considere agregar uno o actualizar las descripciones de los niveles existentes para abordar explícitamente la IIP.
¿Es necesario clasificar cada registro individual?
No. La clasificación se aplica generalmente a nivel de activo (por ejemplo, una base de datos, un recurso compartido de archivos, una aplicación) en lugar de a nivel de registro individual. La clave está en comprender qué activos contienen información de identificación personal (IIP) y clasificarlos adecuadamente. Cuando un mismo sistema contiene diferentes tipos de IIP con distintos niveles de sensibilidad, se debe clasificar según los datos más sensibles que contenga.
¿Cuáles son las categorías especiales de información de identificación personal (PII)?
Según el RGPD, las categorías especiales incluyen datos que revelan el origen racial o étnico, las opiniones políticas, las creencias religiosas, la afiliación sindical, los datos genéticos, los datos biométricos para la identificación, los datos de salud y los datos relativos a la vida sexual o la orientación sexual. La norma ISO 27701 utiliza el término más amplio «datos personales sensibles» y deja las categorías específicas a la legislación aplicable. Su esquema de clasificación debe identificar estos tipos y asignarles el nivel de protección más alto.
Documente este control en su Declaración de aplicabilidad con su justificación de implementación.
Vea las reseñas de nuestros Guía de requisitos de evidencia de auditoría para lo que esperan los auditores.
