El ENS, regulado por la ley 11/2007, tiene como objetivo establecer una política de seguridad integral para que la relación electrónica de los usuarios con las Administraciones Públicas se realice con las máximas garantia en cuanto a cumplimiento de normativas y en cuanto a seguridad de datos personales.

Tipo de Solución: Transparencia y Gobierno Abierto

  • Esquema Nacional de Seguridad (ENS) 0

¿Qué debe contener un Esquema Nacional de Seguridad?


El Esquema Nacional de Seguridad debe contener: 

  • La política de seguridad como marco general

  • La información tratada con su valoración

  • Los servicios prestados con su valoración

  • El tratamiento de los datos de carácter personal

  • La categoría del sistema 

  • Una declaración de aplicabilidad de las medidas, de acuerdo con el Anexo II del ENS

  • Análisis de riesgos

  • Las insuficiencias del sistema

  • Un plan de mejora de seguridad, incluyendo plazos estimados de ejecución
     

Procedimiento de implementación 

El procedimiento de implementación debe seguir este procedimiento: 

  • Realización de una auditoría de seguridad, para saber cómo son de seguros los sistemas de información ante ataques tanto internos como externos. Con las deficiencias que se detecten, se elaborará el correspondiente Plan de Acción por tal de solucionarlas.
  • Realización de un análisis y gestión de los riesgos de seguridad de los activos de información, es decir, un análisis de los riesgos de seguridad a los que están expuestos los activos de información de la administración pública. Esta actuación incluye:
    • Identificar y valorar los activos de información (mediante entrevistas con los responsables de los sistemas)
    • Identificar y valorar las amenazas sobre los activos
    • Analizar las medidas de seguridad desplegadas por el organismo público (en todos los ámbitos: organizativo, técnico, etc.) y elaborar un Plan de Acción para enmendar las posibles carencias que se detecten.
  • Análisis del cumplimiento legal del ENS: un análisis que establezca si las medidas se adecuan a lo que establece el ENTE para cada sistema de información, en función del nivel y la categoría de cada uno.
  • Redacción del plan de adecuación (que debe elaborar el responsable de seguridad del Sistema)
  • Plan de formación y concienciación a diferentes niveles: usuarios, técnicos, responsables, etc