ANEXO I Categorías de los sistemas\3. Determinación del nivel requerido en una dimensión de seguridad

Una información o un servicio pueden verse afectados en una o más de sus dimensiones de seguridad. Cada dimensión de seguridad afectada se adscribirá a uno de los siguientes niveles: BAJO, MEDIO o ALTO. Si una dimensión de seguridad no se ve afectada, no se adscribirá a ningún nivel.

a)      Nivel BAJO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio limitado sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

 

Se entenderá por perjuicio limitado:

1.      La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.

2.      El sufrimiento de un daño menor por los activos de la organización.

3.      El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.

4.      Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.

5.      Otros de naturaleza análoga.

 

b)      Nivel MEDIO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

 

Se entenderá por perjuicio grave:

1.      La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.

2.      El sufrimiento de un daño significativo por los activos de la organización.

3.      El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.

4.      Causar un perjuicio significativo a algún individuo, de difícil reparación.

5.      Otros de naturaleza análoga.

 

c)      Nivel ALTO. Se utilizará cuando las consecuencias de un incidente de seguridad que afecte a alguna de las dimensiones de seguridad supongan un perjuicio muy grave sobre las funciones de la organización, sobre sus activos o sobre los individuos afectados.

 

Se entenderá por perjuicio muy grave:

1.      La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.

2.      El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.

3.      El incumplimiento grave de alguna ley o regulación.

4.      Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.

5.      Otros de naturaleza análoga.

 

Cuando un sistema maneje diferentes informaciones y preste diferentes servicios, el nivel del sistema en cada dimensión será el mayor de los establecidos para cada información y cada servicio.

 

principio