Procés d'adequació

Per a dur a terme el procés de Certificació/Conformitat amb l'ENS és necessari elaborar un Pla d'Adequació (Fase 5a del Procés) que, en si mateix, inclourà les quatre (4) fases prèvies del procés (Política de Seguretat, Categorització de Sistemes, Anàlisis de Riscos i Declaració d'Aplicabilitat/Perfil de Compliment).

El pla d'adequació contindrà la següent informació:

  • Preparar i aprovar la Política de Seguretat, incloent la definició de rols i l'assignació de responsabilitats.
  • Categoritzar els sistemes atenent a:
    • Valoració de la informació manejada, tenint en compte si inclou dades de caràcter personal
    • Serveis prestats i la seva valoració
  • Realitzar la anàlisi de riscos, incloent la valoració de les mesures de seguretat existents.
  • Preparar i aprovar la Declaració d'aplicabilitat de les mesures de l'Annex II de l'ENS i Perfil de Compliment.
  • Elaborar un Pla d'Adequació per a la millora de la seguretat, sobre la base de les insuficiències detectades, incloent terminis estimats d'execució.

Fases del proceso de certificación y Conformidad en el ENS

La determinació de la conformitat dels sistemes d'informació de l'àmbit d'aplicació de l'ENS amb categories MITJANA o ALTA es realitzarà mitjançant un procediment d'auditoria formal que, amb caràcter ordinari, verifiqui el compliment dels requeriments contemplats en l'ENS, almenys cada dos anys. Amb caràcter extraordinari, tal auditoria haurà de realitzar-se sempre que es produeixin modificacions significatives en el sistema considerat que poguessin repercutir en les mesures de seguretat que hagin d'adoptar-se.

Per a la determinació de la conformitat dels sistemes d'informació de l'àmbit d'aplicació de l'ENS amb categoria BÀSICA bastarà amb l'execució d'un procediment d'autoavaluació que, amb caràcter ordinari, verifiqui el compliment dels requeriments contemplats en l'ENS, almenys cada dos anys. Amb caràcter extraordinari, tal autoavaluació haurà de realitzar-se sempre que es produeixin modificacions significatives en el sistema considerat, que poguessin repercutir en les mesures de seguretat que hagin d'adoptar-se.

Sent obligatòria l'Auditoria en sistemes de categories MITJANA o ALTA, res impedeix que un sistema de categoria BÀSICA se sotmeti igualment a una Auditoria formal de verificació de conformitat, sent aquesta possibilitat sempre la desitjable.

Com es desprèn del contingut en el Annex I de l'ENS, la conformitat amb la norma d'un sistema d'informació concret passa necessàriament per adoptar i manifestar que s'han implementat les mesures de seguretat requerides per a tal sistema, atenent la seva categoria (BÀSICA, MITJANA o ALTA), i assegurant que tals mesures es mantenen al llarg de tot el cicle de vida del sistema.

Els organismes als quals s'aplica l'ENS estan obligats a emplenar i informar sobre l'Estat de Seguretat. Per a complir amb aquest mandat, el CCN ha desenvolupat el projecte INES (Informe Nacional de l'Estat de Seguretat) amb la finalitat de facilitar la labor de tots els organismes:

    INES. Informe de l'Estat de la Seguretat en e l ENS

La gestió de la seguretat de la informació és un procés subjecte a canvis constants. Els canvis en l'organització, les amenaces, les tecnologies i/o la legislació són un exemple en els quals és necessària una millora contínua dels nostres sistemes. Per això és necessari implantar un procés permanent, que comportarà, entre altres coses:

  • Revisió de la Política de Seguretat de la Informació.
  • Revisió dels serveis i informació i la seva categorització.
  • Actualització de l'anàlisi de riscos, almenys anualment.
  • Realització d'auditories, almenys biennal.
  • Revisió de les mesures de seguretat.
  • Revisió i actualització de procediments.
  • Revisió de l'Estat de Seguretat. INÉS.

Ciclo de mejora continua

Cicle de millora contínua

La Federació Espanyola de Municipis i Províncies (FEMP), amb la col·laboració del Centre Criptològic Nacional, ha fet públic elLlibre de recomanacions: Itinerari d'adequació a l'Esquema Nacional de Seguretat (ENS). En ell es fa una descripció de les pautes, requisits i els passos a seguir, per aconseguir definir un full de ruta personalitzat per a l'adequació al ENS de les entitats locals, tenint en compte la definició i marc legal de l'esquema, els rols a adoptar segons les competències dins de l'organització, el model a seguir dividit en diverses fases, actuacions, tasques i nivells així com diferents sistemes de mesurament. S'inclou, a més, les mesures de protecció que s'haurien d'implantar en les instal·lacions dels ajuntaments, la gestió del personal, els equips i les comunicacions, els suports d'informació, les aplicacions informàtiques, la informació i els serveis prestats.

Más información