Esquema Nacional de Seguridad ENS 27001

Inicio / Esquema Nacional de Seguridad ENS 27001

ISO 27001

El Esquema Nacional de Seguridad que tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos y está constituido por principios básicos y requisitos mínimos que posibiliten una protección adecuada de la información.

Estas medidas constituyen un mínimo que se debe implementar, o justificar los motivos por los cuales no se implementan o se sustituyen por otras medidas de seguridad que alcancen los mismos efectos protectores sobre la información y los servicios, teniendo en cuenta el estado de la tecnología, la naturaleza de los servicios prestados, la información manejada, y los riesgos a que están expuestos.

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:

Crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de la información y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones Públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Establecer la política de seguridad en el manejo de medios electrónicos en el ámbito de la Ley 11/2007, que estará constituida por los principios fundamentales y los requisitos mínimos para una protección adecuada de la información.
Introducir los elementos comunes que han de guiar la actuación de las Administraciones públicas en materia de seguridad de las tecnologías de la información.
Aportar un lenguaje común para facilitar la interacción de las Administraciones públicas, así como la comunicación de las exigencias de seguridad de la información a la Industria.
Aportar un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios de administración electrónica cuando participan diversas entidades.
Facilitar un tratamiento continuado de la seguridad.

El aspecto principal del ENS es, sin duda, que todos los órganos superiores de las Administraciones Públicas deben disponer de su política de seguridad que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

El ENS que tiene por objeto establecer la política de seguridad en el uso de medios electrónicos

Click To Tweet

¿Cuál es la relación entre el ENS y la norma UNE-ISO/IEC 27002:2009?

Las diferencias principales entre el Esquema Nacional de Seguridad e ISO 2007, se recogen en el siguiente cuadro:

GESTIÓN SEGÚN ISO 27001	GESTIÓN SEGÚN ENS
Su objetivo es la gestión de la seguridad de la información	Regula los principios básicos y establece los requisitos mínimos
Deja libertad para elegir el alcance del SGSI	Se refiere a los medios electrónicos utilizados por los ciudadanos en relación con las Administraciones Públicas
Se enfoca hacia los recursos en general, no limitándose a los sistemas de información	Se enfoca en el sistema de información, como un conjuntos organizado de recursos
El análisis de riesgos siempre es obligatorio	El análisis de riesgos sólo es real para sistemas de categoría media y alta (en materia de seguridad)
No obliga a implantar medidas de seguridad específicas, aunque requiere justificar su no aplicación	Obliga a implantar un conjunto determinado de medidas de seguridad, según la categoría del sistema
Exige la realización de auditorías periódicas sobre el alcance el SGSI	Exige una auditoría bianual de conformidad con el ENS para los sistemas de categoría media y alta (en materia de seguridad)

La Plataforma Tecnológica ISOTools ofrece una herramienta para que las entidades públicas sean capaces de cumplir los requerimientos del Esquema Nacional de Seguridad – ENS mediante la implementación de Sistemas de Gestión basados en normas internacionales de Seguridad de la Información como la ISO 27001.