Sistemas ISO 27001 adaptados al ENS

Sistemas ISO 27001 adaptados al ENS

Naturaleza de ambas normas

para comenzar hagamos una breve exposición de la naturaleza de ambas normas:

ISO 27001

ISO 27001 es una norma internacional Certificable y de voluntario cumplimiento, emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

En este contexto, ISO 27001 es una herramienta para implementar un Sistema de Gestión de la Seguridad de la Información en una organización.

Al tratarse de un esquema certificable, nos ofrece la posibilidad de que una entidad de certificación independiente confirme que la seguridad de la información ha sido implementada en esa organización en cumplimiento con la norma ISO 27001..

ENS Esquema Nacional de Seguridad

Se trata de un reglamento de carácter legal, de obligado cumplimiento para los sistemas de información de las administraciones públicas y requiere una auditoria antes de la emisión de una declaración de conformidad legal que evidencie su cumplimiento.

En un primer análisis, nos encontramos con las siguientes diferencias en orden a entender cómo podemos asimilar el cumplimiento del ENS en organizaciones que tengan implementada la norma ISO 27001

Alcances de ambas normas

En primer lugar tanto el alcance como las medidas de seguridad a adoptar en un Sistema de Seguridad de la información quedan sujetos a la valoración de la organización y al criterio de un auditor.

En ENS en cambio, requiere un proceso de categorización de la información en relaciona su nivel de protección definidos en el anexo I  y una serie mínima de medidas de seguridad (Anexo II) que son obligatorias u opcionales en función de la categoría del sistema.

Por tanto, las medidas de seguridad que se adoptan en el ENS son básicamente obligatorias, concediéndose únicamente la posibilidad de implantar medidas alternativas que demuestren que alcanzan el mismo nivel de protección que las medidas obligatorias.

Dado que la aplicación de las medidas de control en un sistema de gestión de la seguridad de la información está sujeta a una declaración de aplicabilidad y al criterio del auditor no podemos establecer una regla única para valorar el cumplimiento del ENS en una organización que tiene implantado un sistema según la norma ISO 27001.

Sin embargo, podemos establecer ciertos criterios basados en una implantación más o menos responsable y ecuánime de la norma ISO 27001

Aspectos de un sistema de Seguridad ISO 27001 que requieren adaptarse al ENS

Requisitos o medidas de Planificación

Adquisición de nuevos componentes

Componentes Certificados

Control de acceso

Mecanismo de autenticación

Explotación

Configuración de seguridad

Gestión de la configuración

Servicios externos

Medios alternativos

Monitorización del sistema

Detección de intrusión

Protección de las comunicaciones

Perímetro seguro

Protección de la información

Cifrado de la información

Firma electrónica

Sellos de tiempo

Limpieza de documentos

Protección de los servicios

Protección de servicios y aplicaciones web

Protección frente a la denegación de servicio

Medios alternativos

  Artículos relacionados
 

Carousel: no se encontraron imagenes

Deja un comentario