| 25 años generando CONFIANZA
ISO 27001
El Esquema Nacional de Seguridad que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que posibiliten una protección adecuada de la información.
Estas medidas constituyen un mínimo que se debe implementar, o justificar los motivos por los cuales no se implementan o se sustituyen por otras medidas de seguridad que alcancen los mismos efectos protectores sobre la información y los servicios, teniendo en cuenta el estado de la tecnología, la naturaleza de los servicios prestados, la información manejada, y los riesgos a que están expuestos.
El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:
- Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
- Establecer la política de seguridad en el manejo de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios fundamentales y los requisitos mínimos para una protección adecuada de la información.
- Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
- Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de las exigencias de seguridad de la información a la Industria.
- Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
- Facilitar un tratamiento continuado de la seguridad.
El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las Administraciones Públicas deben disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.
¿Cuál es la relación entre el ENS y la norma UNE-ISO/IEC 27002:2009?
Las diferencias principales entre el Esquema Nacional de Seguridad e ISO 2007, se recogen en el siguiente cuadro:
GESTIÓN SEGÚN ISO 27001 |
GESTIÓN SEGÚN ENS |
Su objetivo es la gestión de la seguridad de la información | Regula los principios básicos y establece los requisitos mínimos |
Deja libertad para elegir el alcance del SGSI | Se refiere a los medios electrónicos utilizados por los ciudadanos en relación con las Administraciones Públicas |
Se enfoca hacia los recursos en general, no limitándose a los sistemas de información | Se enfoca en el sistema de información, como un conjuntos organizado de recursos |
El análisis de riesgos siempre es obligatorio | El análisis de riesgos sólo es real para sistemas de categoría media y alta (en materia de seguridad) |
No obliga a implantar medidas de seguridad específicas, aunque requiere justificar su no aplicación | Obliga a implantar un conjunto determinado de medidas de seguridad, según la categoría del sistema |
Exige la realización de auditorías periódicas sobre el alcance el SGSI | Exige una auditoría bianual de conformidad con el ENS para los sistemas de categoría media y alta (en materia de seguridad) |
La Plataforma Tecnológica ISOTools ofrece una herramienta para que las entidades públicas sean capaces de cumplir los requerimientos del Esquema Nacional de Seguridad – ENS mediante la implementación de Sistemas de Gestión basados en normas internacionales de Seguridad de la Información como la ISO 27001.
¿Desea saber más?
Entradas relacionadas
En el mundo empresarial actual, donde la integridad y la transparencia son esenciales para construir confianza, las organizaciones…
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...