L'ENS, regulat per la Llei 11/2007, té com a objectiu establir una política de seguretat integral perquè la relació electrònica dels usuaris amb les Administracions Públiques es faci amb les màximes garanties pel que fa al compliment de normatives i pel que fa a seguretat de dades personals.

Tipus de Solució: Transparència i Govern Obert

  • Esquema Nacional de Seguretat (ENS) 0

Què ha de tenir un Esquema Nacional de Seguretat?


L'Esquema Nacional de Seguretat ha de tenir:

  • La política de Seguretat com a marc general

  • La informació tractada amb la seva valoració

  • Els serveis prestats amb la seva valoració

  • El tractament de les dades de caràcter personal

  • La categoria del sistema 

  • Una declaració d'aplicabilitat de les mesures, d'acord amb l'Annex II de l'ENS

  • Una anàlisi de riscos

  • Les insuficiències del sistema  

  • Un pla de millora de seguretat, incloent-hi terminis estimats d'execució 

Procediment d'implantació

El procediment d'implementació ha de seguir el següent procediment:  

  • Realització d'una auditoria de seguretat, per saber si els sistemes d'informació són segurs davant atacs tant interns com externs. Amb les deficiències que es detectin, s'elaborarà el corresponent Pla d'Acció per tal de solucionar-les.  
  • Realització d'un anàlisi i gestió dels riscos de seguretat dels actius d'informació, és a dir, una anàlisi dels riscos als quals estan exposats els actius d'informació de l'administració pública. Aquesta actuació inclou: 
    • Identificar i valorar els actius d'informació (a través d'entrevistes amb els responsables de sistemes)
    • Identificar i valorar les amenaces sobre els actius  
    • Analitzar les mesures de seguretat desplegades per l'organisme públic (en tots els àmbits: organitzatiu, tècnic, etc.) i elaborar un Pla d'Acció per solucionar les possibles mancances que es detectin
  • Anàlisi del compliment legal de l'ENS: una anàlisi que estableixi si les mesures s'ajusten al que estableix l'ENS per a cada sistema d'informació, en funció del nivell i de la categoria de cadascun. 
  • Redacció de pla d'adequació (que ha d'elaborar el responsable de seguretat del sistema) 
  • Pla de formació i conscienciació a diferents nivells: usuaris, tècnics, responsables, etc.