Esquema Nacional de Seguridad
Contenido ocultar
1 Introducción
2 Cómo se desarrollaría el proyecto
Consúltenos
Los datos que nos facilita se utilizarán exclusivamente para atender su solicitud. Si desea ampliar información, visite https://www.encolaboracion.net/aviso-legal/
En las redes

Esquema Nacional de Seguridad (ENS)

Introducción

El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, de 3 de mayo, determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos, así como, los principios básicos y medidas de seguridad mínimas (en un total de 73) para una protección adecuada de la información.

El Esquema Nacional de Seguridad es aplicable a las Administraciones Públicas y a sus proveedores de servicios y soluciones en los citados servicios públicos.

Para demostrar el cumplimiento del Esquema Nacional de Seguridad las organizaciones con sistemas de información de categoría media o alta deben certificarlos a través de entidades acreditadas por la Entidad Nacional de Acreditación y Certificación (ENAC).

Cómo se desarrollaría el proyecto

Para adecuarse al Esquema Nacional de Seguridad se deben desarrollar las siguientes actividades:

  • Definir el alcance. Categorizar los servicios electrónicos atendiendo a la valoración de la información tratada y los servicios prestados (Anexo I).
  • Elaborar la política de seguridad de la información.
  • Análisis de los riesgos. Identificar los activos que soportan los servicios electrónicos (servicios, información, hardware, software, comunicaciones, personas, emplazamientos, …), sus relaciones de dependencia, sus vulnerabilidades y las amenazas a las que están expuestos.
  • Valorar el grado de implantación de las medidas de seguridad recogidas en el Anexo II.
  • Actualizar la declaración de aplicabilidad de las medidas de seguridad del Anexo II, justificando las exclusiones.
  • Gestionar los riesgos. A partir de los riesgos identificados como no tolerables, elaborar el plan de tratamiento de los riesgos (acciones, responsables, plazos, recursos, indicadores, …).
  • Realizar acciones de concienciación y capacitación para las personas.
  • Mejorar la seguridad. Implantar del plan de tratamiento de los riesgos y comprobar al menos bienalmente su adecuación, efectividad y eficiencia.
  • Conformidad. Declarar (nivel básico) o certificar la conformidad a través de entidades de certificación acreditadas (nivel medio y alto).

Haga click, si desea conocer nuestros servicios en materia de gestión de la ciberseguridad o seguridad de la información.