
Esquema Nacional de Seguridad (ENS)
Introducción
El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo, determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos, así como, los principios básicos y medidas de seguridad mínimas (en un total de 73) para una protección adecuada de la información.
El Esquema Nacional de Seguridad es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.
Para demostrar el cumplimiento del Esquema Nacional de Seguridad las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).
Cómo se desarrollaría el proyecto
Para adecuarse al Esquema Nacional de Seguridad se deben desarrollar las siguientes actividades:
- Definir el alcance. Categorizar los servicios electrónicos atendiendo a la valoración de la información tratada y los servicios prestados (Anexo I).
- Elaborar la política de seguridad de la información.
- Análisis de los riesgos. Identificar los activos que soportan los servicios electrónicos (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus relaciones de dependencia, sus vulnerabilidades y las amenazas a las que están expuestos.
- Valorar el grado de implantación de las medidas de seguridad recogidas en el Anexo II.
- Actualizar la declaración de aplicabilidad de las medidas de seguridad del Anexo II, justificando las exclusiones.
- Gestionar los riesgos. A partir de los riesgos identificados como no tolerables, elaborar el plan de tratamiento de los riesgos (acciones, responsables, plazos, recursos, indicadores, …).
- Realizar acciones de concienciación y capacitación para las personas.
- Mejorar la seguridad. Implantar del plan de tratamiento de los riesgos y comprobar al menos bienalmente su adecuación, efectividad y eficiencia.
- Conformidad. Declarar (nivel básico) o certificar la conformidad a través de entidades de certificación acreditadas (nivel medio y alto).