Proceso de adecuación

Para levar a cabo o proceso de Certificación / Cumprimento do ENS, é necesario elaborar un Plan de Adaptación (Fase 5 do Proceso) que, de por si, incluirá as catro (4) fases anteriores do proceso (Política de seguridade, Clasificación de sistemas , Análise de riscos e declaración de aplicabilidade / Perfil de cumprimento).

El plan de adecuación contendrá la siguiente información:

  • Preparar y aprobar la Política de Seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
  • Categorizar os sistemas atendendo a:
    • Valoración da información manexada
    • Servizos prestados e a súa valoración
    • Datos de carácter persoal
  • Realizar a análise de riscos, incluíndo a valoración das medidas de seguridade existentes.
  • Preparar e aprobar a Declaración de aplicabilidad das medidas do Anexo II do ENS e Perfil de Cumprimento..
  • Elaborar un Plan de Adecuación para a mellora da seguridade, sobre a base das insuficiencias detectadas, incluíndo prazos estimados de execución.

Fases del proceso de certificación y Conformidad en el ENS

A determinación da conformidade dos sistemas de información do ámbito de aplicación do ENS con categorías MEDIA ou ALTA realizarase mediante un procedemento de auditoría formal que, con carácter ordinario, verifique o cumprimento dos requirimentos contemplados no ENS, polo menos cada dous anos. Con carácter extraordinario, tal auditoría deberá realizarse sempre que se produzan modificacións significativas no sistema considerado que puidesen repercutir nas medidas de seguridade que deban adoptarse.

Para a determinación da conformidade dos sistemas de información do ámbito de aplicación do ENS con categoría BÁSICA bastará coa execución dun procedemento de autoevaluación que, con carácter ordinario, verifique o cumprimento dos requirimentos contemplados no ENS, polo menos cada dous anos. Con carácter extraordinario, tal autoevaluación deberá realizarse sempre que se produzan modificacións significativas no sistema considerado, que puidesen repercutir nas medidas de seguridade que deban adoptarse.

Sendo obrigatoria a Auditoría en sistemas de categorías MEDIA ou ALTA, nada impide que un sistema de categoría BÁSICA sométase igualmente a unha Auditoría formal de verificación de conformidade, sendo esta posibilidade sempre a desexable.

Como se desprende do contido en o Anexo I do ENS, a conformidade coa norma dun sistema de información concreto pasa necesariamente por adoptar e manifestar que se han implementado as medidas de seguridade requiridas para tal sistema, atendendo á súa categoría (BÁSICA, MEDIA ou ALTA), e asegurando que talles medidas mantéñense ao longo de todo o ciclo de vida do sistema.

Os organismos aos que se aplica o ENS están obrigados a cumprimentar e informar sobre o Estado de Seguridade. Para cumprir con este mandato, o CCN desenvolveu o proxecto INES (Informe Nacional do Estado de Seguridade) co fin de facilitar o labor de todos os organismos:

    INES. Informe do Estado da Seguridade en el ENS

A xestión da seguridade da información é un proceso suxeito a cambios constantes. Os cambios na organización, as ameazas, as tecnoloxías e/ou a lexislación son un exemplo nos que é necesaria unha mellora continua dos nosos sistemas. Por iso é necesario implantar un proceso permanente, que levará, entre outras cousas:

  • Revisión da Política de Seguridade da Información.
  • Revisión dos servizos e información e a súa categorización.
  • Actualización da análise de riscos, polo menos anualmente.
  • Realización de auditorías, polo menos bienal.
  • Revisión das medidas de seguridade.
  • Revisión e actualización de procedementos.
  • Revisión do Estado de Seguridade. INÉS.

Ciclo de mejora continua

Ciclo e mellora continua

A Federación Española de Municipios e Provincias (FEMP), coa colaboración do Centro Criptolóxico Nacional, fixo público o Libro de recomendacións: Itinerario de adecuación ao Esquema Nacional de Seguridade (ENS). Nel faise unha descrición das pautas, requisitos e os pasos para seguir, para conseguir definir unha folla de ruta personalizada para a adecuación ao ENS das entidades locais, tendo en conta a definición e marco legal do esquema, os roles para adoptar segundo as competencias dentro da organización, o modelo para seguir dividido en varias fases, actuacións, tarefas e niveis así como distintos sistemas de medición. Inclúense, ademais, as medidas de protección que se deberían implantar nas instalacións dos concellos, a xestión do persoal, os equipos e as comunicacións, os soportes de información, as aplicacións informáticas, a información e os servizos prestados.

Más información