Categorías de Conformidad ENS - Ingertec
LlamarPresupuesto

Categorías de Conformidad ENS

Dentro del Esquema Nacional de Seguridad (ENS) se establecen tres niveles o categorías que permiten establecer los procedimientos especificos para la obtención de conformidad dentro de la Norma. 

La conformidad con la norma de cualquier sistema de información requiere necesariamente que se cumpla con la adopción de todas las medidas de seguridad requeridas según su categoría (Básica, Media o Alta) y de la manifestación y aseguramiento del mantenimiento a largo plazo de todo el ciclo de vida del sistema. 

¿Cuáles son las categorías según las dimensiones de seguridad?

Según las dimensiones de seguridad descritas dentro del Esquema Nacional de Seguridad se consideran tres niveles: Bajo, Medio y Alto. Cada uno de los niveles tiene una dimensión de seguridad y dependiendo del nivel de impacto o de incidente de seguridad que afecte a la organización. 

categoria ens

Cada servicio dentro de la empresa puede verse afectado por un incidente de seguridad que determina el nivel de afectación y asi mismo, el nivel de conformidad que se requiere cumplir dentro del ENS para poder obtener la certificación a conformidad. 

Nivel Bajo

Este nivel se utiliza cuando las consecuencias de un incidente de seguridad solamente afectan a alguna de las dimensiones de seguridad dentro de la empresa, pero no a todas. Es decir, este nivel supone un perjuicio limitado a las funciones de la organizacion, a sus activos o a los personas afectadas.

  1. La reducción de forma apreciable de la capacidad de la organización para atender eficazmente con sus obligaciones corrientes, aunque estas sigan desempeñándose.
  2. El sufrimiento de un daño menor por los activos de la organización.
  3. El incumplimiento formal de alguna ley o regulación, que tenga carácter de subsanable.
  4. Causar un perjuicio menor a algún individuo, que aún siendo molesto pueda ser fácilmente reparable.
  5. Otros de naturaleza análoga.
Puede interesarte...  Requisitos para informe de información No financiera

Nivel Medio

Este nivel se utiliza cuando las consecuencias de un incidente de seguridad afectan a alguna de las dimensiones de seguridad dentro de la empresa. Es decir, este nivel supone un perjuicio grave a las funciones de la organizacion, a sus activos o a los personas afectadas.

  1. La reducción significativa la capacidad de la organización para atender eficazmente a sus obligaciones fundamentales, aunque estas sigan desempeñándose.
  2. El sufrimiento de un daño significativo por los activos de la organización.
  3. El incumplimiento material de alguna ley o regulación, o el incumplimiento formal que no tenga carácter de subsanable.
  4. Causar un perjuicio significativo a algún individuo, de difícil reparación.
  5. Otros de naturaleza análoga.

Nivel Alto

Este nivel se utiliza cuando las consecuencias de un incidente de seguridad afectan a muchas de las dimensiones de seguridad dentro de la empresa. Es decir, este nivel supone un perjuicio muy grave a las funciones de la organizacion, a sus activos o a los personas afectadas.

  1. La anulación de la capacidad de la organización para atender a alguna de sus obligaciones fundamentales y que éstas sigan desempeñándose.
  2. El sufrimiento de un daño muy grave, e incluso irreparable, por los activos de la organización.
  3. El incumplimiento grave de alguna ley o regulación.
  4. Causar un perjuicio grave a algún individuo, de difícil o imposible reparación.
  5. Otros de naturaleza análoga.

¿Cómo se realiza la declaración de conformidad por cada nivel dentro del ENS?

Icono confianza y mejoraPara los niveles MEDIO y ALTO, se requiere realizar un procedimiento de auditoría formal que verifique el cumplimiento de los requerimientos contemplados en el esquema nacional de seguridad. 

Puede interesarte...  Protege a tu empresa de ciberataques

También, se podrá realizar una auditoría extraordinaria en el momento de cualquier modificación significativa al sistema de seguridad que afecte a cualquier medida de seguridad adoptada. 

Icono confianza y mejoraPara el nivel BÁSICO, solamente se necesitará la ejecución de un proceso de autoevaluación en los que se verifiquen el cumplimiento de los requerimientos contemplados en el esquema nacional de seguridad. 

Esta autoevaluación se podrá realizar en el momento de cualquier modificación significativa al sistema de seguridad que afecte a cualquier medida de seguridad adoptada dentro de la organización. 

Observaciones:

  • Los procesos de conformidad ordinaria se tendrán que realizar al menos cada dos años 
  • Las organizaciones con categorías básicas, que no tienen como obligatoria la auditoría también se pueden someter a una auditoría formal como posibilidad deseable en el proceso de conformidad.

¿Cuáles son las empresas que deben cumplir con el Esquema Nacional de Seguridad? 

La política de seguridad en el uso de medios electrónicos de la Administración pública y en organizaciones del sector privado que apoyen, ofrezcan y presten servicios a la ciudadanía; esta regida por el Real Decreto 3/2010 que regula el Esquema Nacional de Seguridad (ENS).

Consecuentemente los siguientes son los organismos que deben cumplir con el Esquema Nacional de Seguridad:

  • La administración General del Estado
  • Organismos públicos
  • Administraciones públicas 
  • Comunidades Autónomas  
  • Asociaciones
  • Entidades sin ánimo de lucro
  • Entidades de derecho público
  • Ciudadanos con relaciones con Administraciones públicas
  • Relaciones entre diferentes Administraciones públicas
  • Hospitales públicos o relacionados con Administraciones públicas 
  • Universidades públicas o relacionadas con administraciones públicas

Operadores pertenecientes al Sector Privado que ​prestan servicios o proveen soluciones a los que resulte exigible el cumplimiento del ENS por ser relevantes para servicios públicos a la ciudadanía

  • Sedes electrónicas.
  • Registros electrónicos.
  • Sistemas de Información accesibles electrónicamente por los ciudadanos.
  • Sistemas de Información para el ejercicio de derechos.
  • Sistemas de Información para el cumplimiento de deberes.
  • Sistemas de Información para recabar información y estado del procedimiento administrativo
  • Servicios móviles, servicios de atención telefónica y fax.
  • Control de presencia, gestión de colas
  • Desarrollo de software para la administración pública
  • Datacenters
Puede interesarte...  ¿Sabes cuál es el proceso para la Certificación ENS?

Entidades de derecho privado ​vinculadas o dependientes de las Administraciones Públicas

  • Las entidades de derecho privado pertenecientes al Sector Público Institucional, p.e. RENFE, AENA
  • Las entidades de derecho privado vinculadas o dependientes de las comunidades autónomas, p.e. Ciudad de las Artes y las Ciencias. Televisiones Autonómicas.
  • Las entidades de derecho privado vinculadas o dependientes de la Administración de las entidades locales, p.e. Empresa Municipal de Transportes de Madrid, Barcelona de Serveis Municipals.
  • Las entidades de derecho privado y fundaciones: RTVE, Fundación del Teatro Real o ENRESA

Ingertec te ayuda

Somos una empresa con más de 20 años de experiencia en la implantación de Normas ISO y soluciones de gestión eficaces para su organización: 

Calidad – Seguridad de la Información – Calidad de Software – Compliance

Gestión Ambiental – Seguridad Laboral – Seguridad Alimentaria – Excelencia

Plan de IgualdadMemorias Información no FinancieraENS

El equipo de profesionales y expertos en materia de certificaciones ISO de Ingertec te ayudará a conseguir tus objetivos ofreciéndote el mejor servicio de consultoría.

Deja un comentario