ENS vs ISO 27001

janvier 21, 2013

ENS vs ISO 27001

En la anterior entrada vimos de forma resumida cada uno de los módulos y medidas de seguridad de los que está compuesto el Esquema Nacional de Seguridad, a la hora de implantar el ENS en una Administración Pública es importante previamente tener claro los conceptos de categoría, niveles y dimensiones:

Dimensiones de Seguridad: Para conocer el impacto de un incidente que afecte a la seguridad de la información o de los sistemas, y así poder fijar la categoría del sistema, se debe tener en cuenta las dimensiones de seguridad (Disponibilidad, Autenticidad, Integridad, Confidencialidad, Trazabilidad)
Niveles: Cada dimensión de seguridad se asignará a los niveles Bajo, Medio o Alto dependiendo de las consecuencias del incidente de seguridad.
Categoría: El sistema de información tendrá el nivel más alto de entre todas las dimensiones de seguridad que pertenezcan al mismo sistema de información.

A continuación se expondrá un breve resumen de la relación que existe entre el ENS y la ISO 27001, de tal manera que podemos ver claramente la asociación que hay entre cada uno de los controles de la ISO y el ENS.

Política de Seguridad

Marco Organizativo

Aspectos Organizativos de la Seguridad de la Organización

Marco Organizativo
Medidas de Protección → Gestión del Personal

Gestión de Activos

Marco Operacional → Planificación
Marco Operacional → Explotación

Seguridad Ligada a los Recursos Humanos

Medidas de Protección → Gestión del Personal

Seguridad Física y Ambiental

Medidas de Protección → Protección de los Equipos
Medidas de Protección → Protección de las Instalaciones e Infraestructuras

Gestión de Comunicaciones y Operaciones

Marco Operacional → Monitorización del Sistema
Marco Operacional → Servicios Externos
Medidas de Protección → Protección de las Comunicaciones
Medidas de Protección → Protección de los Soportes de Información

Control de Acceso

Marco Operacional → Control de Acceso

Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información

Marco Operacional → Explotación
Marco Operacional → Planificación
Medidas de Protección → Protección de las Aplicaciones Informáticas
Medidas de Protección → Protección de los Servicios

Gestión de Incidentes en la Seguridad de la Información

Marco Operacional → Explotación

Gestión de la Continuidad del Negocio

Marco Operacional → Continuidad del Servicio
Medidas de Protección → Protección de la Información

Cumplimiento

Medidas de Protección → Protección de la Información

Mediante esta relación de controles y medidas, los responsables de seguridad de empresas privadas certificadas en ISO 27001 podrán relacionar y entender los requisitos que deben cumplir las Administraciones Públicas para alcanzar el nivel de seguridad exigible en el ENS, y así como proveedores de servicios a Administraciones Públicas podrán tomar las medidas adecuadas para ayudarlas a ejecutar y comprender el ENS.

Rechercher dans ce blog

David Romero Trejo

ENS vs ISO 27001

Commentaires

Enregistrer un commentaire

Articles les plus consultés

Improving SSL VPN performance with DTLS

HSRP, VRRP o GLBP

Checksum

Decrypting DTLS traffic with Wireshark

Metodología de redes (FCAPS)

Two FortiGates in a VRRP domain

DNS Load Balancing

MLAG vs vPC vs Stacking

Balanceadores de Carga

Linux Buffer Overflow Example