Esquema Nacional de Seguridad

|||Esquema Nacional de Seguridad
Esquema Nacional de Seguridad 2017-09-19T19:44:09+00:00
Esquema Nacional de Seguridad
CONSÚLTENOS

Aviso legal

EN LAS REDES

Esquema Nacional de Seguridad. Aplicable a las Administraciones Públicas
y sus proveedores de TI

El Esquema Nacional de Seguridad, regulado por el Real Decreto 3/2010, de 8 de enero (modificado por el Real Decreto 951/2015, de 23 de octubre), determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos, así como, los principios básicos y medidas de seguridad mínimas (en un total de 75) para una protección adecuada de la información.

El Esquema Nacional de Seguridad es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.

Para demostrar el cumplimiento del Esquema Nacional de Seguridad, a partir del 24 de octubre de 2017 las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).

Para adecuarse al Esquema Nacional de Seguridad se deben desarrollar las siguientes actividades:

  • Definir el alcance. Categorizar los servicios electrónicos atendiendo a la valoración de la información tratada y los servicios prestados (Anexo I).
  • Elaborar la política de seguridad de la información.
  • Análisis de los riesgos. Identificar los activos que soportan los servicios electrónicos (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus relaciones de dependencia, sus vulnerabilidades y las amenazas a las que están expuestos.
  • Valorar el grado de implantación de las medidas de seguridad recogidas en el Anexo II.
  • Actualizar la declaración de aplicabilidad de las medidas de seguridad del Anexo II, justificando las exclusiones.
  • Gestionar los riesgos. A partir de los riesgos identificados como no tolerables, elaborar el plan de tratamiento de los riesgos (acciones, responsables, plazos, recursos, indicadores, …).
  • Realizar acciones de concienciación y capacitación para las personas.
  • Mejorar la seguridad. Implantar del plan de tratamiento de los riesgos y comprobar al menos bienalmente su adecuación, efectividad y eficiencia.
  • Conformidad. Declarar (nivel básico) o certificar la conformidad a través de entidades de certificación acreditadas (nivel medio y alto).