Esquema Nacional de Seguridad

Los sistemas se categorizan según el impacto en las dimensiones de seguridad: BÁSICO si el perjuicio causado por incidentes es limitado, MEDIO si es grave, ALTO si es muy grave. La categorización determina las medidas mínimas exigibles del Anexo II. Las medidas se distribuyen en marco organizativo, marco operacional y medidas de protección.

Los sistemas de categoría MEDIA y ALTA serán objeto de auditoría regular ordinaria, al menos cada dos años, con auditoría extraordinaria ante modificaciones sustanciales. Los sistemas de categoría BÁSICA podrán optar entre auditoría o autoevaluación. El resultado se incorpora al expediente de seguridad del sistema.

Cada organización dispondrá de una política de seguridad aprobada por el órgano superior correspondiente, que articule los objetivos de la organización en materia de seguridad de la información, marco normativo, principios, roles y responsabilidades, estructura del comité de seguridad de la información y mecanismos de revisión.

Las dimensiones del ENS son: CONFIDENCIALIDAD (acceso solo por autorizados), INTEGRIDAD (que no se altere), DISPONIBILIDAD (acceso y uso cuando se requiera), AUTENTICIDAD (que la identidad declarada del autor o del solicitante sea genuina), TRAZABILIDAD (que las actuaciones de una entidad puedan ser imputadas exclusivamente a dicha entidad). Cada dimensión afectada se adscribe a un nivel BAJO, MEDIO o ALTO según el impacto que un incidente tendría sobre la organización, sus activos o los individuos.

Un cuestionario adaptativo determina qué obligaciones de ENS aplican a cada cliente y detecta sus brechas. El resultado alimenta los documentos y el universo de controles.

• Análisis de Riesgos (ENS)
• Declaración de Aplicabilidad de Medidas (ENS)
• Política de Seguridad de la Información (ENS)