Versiones comparadas

Versión Versión anterior 3 Nueva versión 4
Cambios realizados por

SIUV - Qualitat i Comunicació

SIUV - Qualitat i Comunicació

Guardado el

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

Ancla
_GoBack
_GoBack





































  1. Ancla

...

  1. CUESTIONES GENERALES 5
    1. ¿QUÉ ES EL ESQUEMA NACIONAL DE SEGURIDAD (ENS)? 5
    2. ¿POR QUÉ ES NECESARIO EL ENS?5
    3. ¿CUÁLES SON LOS OBJETIVOS PRINCIPALES DEL ENS?5
    4. ¿CUÁL ES EL ORIGEN DEL ENS?, ¿QUIÉNES HAN PARTICIPADO EN SU ELABORACIÓN? 6
    5. TRAS LA PUBLICACIÓN DEL ENS, ¿CUÁLES SON LOS PASOS SIGUIENTES? 6
    6. ¿PARA QUÉ SIRVEN LOS PRINCIPIOS BÁSICOS ENUNCIADOS EN EL ENS? 6
    7. ¿QUÉ HAY QUE HACER CON LOS REQUISITOS MÍNIMOS QUE SE EXPRESAN EN EL ENS? 6
  2. ÁMBITO DE APLICACIÓN, ALCANCE E IMPLANTACIÓN DEL ENS 7
    1. ¿ES EL ENS DE OBLIGADO CUMPLIMIENTO PARA TODAS LAS ADMINISTRACIONES PÚBLICAS? 7
    2. ¿QUÉ APLICACIONES, SERVICIOS O SISTEMAS ESTÁN COMPRENDIDOS EN EL ÁMBITO DE APLICACIÓN DEL

ENS?7

    1. ¿CUÁNDO UN SISTEMA NO ESTARÍA COMPRENDIDO DENTRO DEL ÁMBITO DE APLICACIÓN DEL ENS?7
    2. ¿QUÉ RESPONSABILIDADES SE DERIVAN DEL INCUMPLIMIENTO DEL ENS?7
    3. ¿ES EL ENS DE APLICACIÓN TAMBIÉN A LA RELACIÓN ENTRE ADMINISTRACIONES PÚBLICAS? 8
    4. ¿ES EL ENS DE APLICACIÓN A LAS ENTIDADES VINCULADAS O DEPENDIENTES DE LAS

ADMINISTRACIONES PÚBLICAS? 8

    1. ¿SIRVE EL ENS PARA PROTEGER LA INFORMACIÓN QUE PUDIERAN LLEGAR A INTERCAMBIARSE VARIOS

SISTEMAS DE INFORMACIÓN? 8

    1. ¿EN QUÉ MEDIDA DEBEMOS TENER EN CUENTA EL ENS CUANDO LAS ACTIVIDADES DE LOS SISTEMAS DE INFORMACIÓN TIENEN LUGAR FUERA DE LAS DEPENDENCIAS DE NUESTRO ORGANISMO O ESTÁN SUBCONTRATADOS CON EMPRESAS EXTERNAS? 9
    2. ¿CUÁL ES EL "ÓRGANO SUPERIOR" AL QUE SE ALUDE EN EL ENS (ART. 11 Y DISPOSICIÓN TRANSITORIA)? 9
    3. ¿CÓMO DEBEMOS ENTENDER LA SEDE ELECTRÓNICA, DESDE EL PUNTO DE VISTA DEL ENS? ¿ES UN SISTEMA DE INFORMACIÓN O ES UN DERECHO DE LOS CIUDADANOS? ¿HAY QUE COLGAR EN LA SEDE ELECTRÓNICA LA DECLARACIÓN DE CONFORMIDAD CON EL ENS? 9
    4. ¿QUEDARÍAN EXCLUIDOS DEL ÁMBITO DE APLICACIÓN DEL ENS AQUELLOS SISTEMAS NO RELACIONADOS CON LOS CIUDADANOS STRICTO SENSU COMO, POR EJEMPLO, LOS IMPLICADOS EN LA GESTIÓN DE RECURSOS HUMANOS (FUNCIÓN PÚBLICA)? 10
    5. ¿SE CONSIDERARÍAN INCLUIDOS EN EL ÁMBITO DEL ENS MEDIOS COMO LA ATENCIÓN TELEFÓNICA? 11
    6. ¿AFECTA EL ENS A LAS RELACIONES ENTRE DISTINTOS ORGANISMOS DE LAS AA.PP., ENTENDIDAS COMO INTERCAMBIO DE INFORMACIÓN ENTRE LOS MISMOS? 11
    7. UN SISTEMA DE BACK-OFFICE (NO VISIBLE DESDE EL EXTERIOR) UTILIZADO PARA, POR EJEMPLO, GESTIONAR PROCEDIMIENTOS SANCIONADORES DE LOS CIUDADANOS, ¿QUEDARÍA DENTRO DEL ALCANCE DEL ENS?12
    8. ¿ES APLICABLE EL ENS A LOS HOSPITALES PÚBLICOS? ¿Y A LAS UNIVERSIDADES PÚBLICAS? 12
    9. ¿CUÁLES SON LAS MEDIDAS DE SEGURIDAD QUE DEBEN ADOPTAR LOS PROVEEDORES EXTERNOS QUE PROPORCIONEN SERVICIOS INFORMÁTICOS A LAS AA.PP.?, ¿DEBEN CUMPLIR CON EL ENS? (POR EJEMPLO: SERVICIOS DE ALOJAMIENTO DE SERVIDORES, SERVICIOS CLOUD COMPUTING, ETC.) 13
    10. ¿ES APLICABLE EL ENS A LOS SISTEMAS UTILIZADOS POR LAS AA.PP. PARA "MECANIZAR" LA INFORMACIÓN OBTENIDA EN TRÁMITE UN PRESENCIAL? 13
    11. ¿CÓMO SE REALIZA EL CONTROL DE LA CORRECTA APLICACIÓN DEL ENS? 14
    12. LOS COLEGIOS PROFESIONALES, ¿ESTÁN SUJETOS A LO DISPUESTO EN EL ENS? 14
  2. LEY ORGÁNICA DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL Y ESQUEMA NACIONAL DE SEGURIDAD 15
    1. ¿SE PUEDEN ENTENDER EQUIVALENTES LOS NIVELES LOPD CON LOS NIVELES ENS? 15
    2. LA DISPOSICIÓN ADICIONAL ÚNICA DEL REAL DECRETO 1720/2007, SEÑALA: "LOS PRODUCTOS DE SOFTWARE DESTINADOS AL TRATAMIENTO AUTOMATIZADO DE DATOS PERSONALES DEBERÁN INCLUIR EN SU DESCRIPCIÓN TÉCNICA EL NIVEL DE SEGURIDAD, BÁSICO, MEDIO O ALTO, QUE PERMITAN ALCANZAR DE ACUERDO CON LO ESTABLECIDO". ¿ES NECESARIO QUE ESTÉ CERTIFICADO O AUDITADO POR ALGÚN AUDITOR

INDEPENDIENTE? 15

    1. PARA EL EJERCICIO DE LOS DERECHOS ARCO (ACCESO, RECTIFICACIÓN, CANCELACIÓN Y OPOSICIÓN) CONTEMPLADOS EN LA LOPD, LAS AA.PP. SUELEN USAR FORMULARIOS EN FORMATO PDF, EN LOS QUE SE

...

  1. EL EQUIPO HUMANO DE LA SEGURIDAD DE LA INFORMACIÓN 16
    1. EL ARTÍCULO 15 DEL ENS EXPRESA LA NECESIDAD DE QUE LA SEGURIDAD DE LOS SISTEMAS SEA GESTIONADA POR PERSONAL CUALIFICADO. ¿SE HAN ARTICULADO O DEFINIDO LOS CRITERIOS DE CUALIFICACIÓN DE PERSONAL EN BASE A CERTIFICACIONES, TITULACIONES? 16
    2. ¿CUÁLES SON LAS FUNCIONES QUE DEBE DESARROLLAR EL RESPONSABLE DEL SISTEMA, SEGÚN EL ENS?

¿QUIÉN DEBE SER ESTA PERSONA? 17

    1. ¿CUÁLES SON LAS FUNCIONES QUE DEBE DESARROLLAR EL RESPONSABLE DE LA INFORMACIÓN SEGÚN EL

ENS?, ¿QUIÉN DEBE SER? 18

    1. ¿PUEDE DESIGNARSE AL RESPONSABLE DE SEGURIDAD COMO UN COMITÉ EN EL QUE SE CONTEMPLEN DISTINTOS ROLES: TÉCNICO, ORGANIZATIVO Y LEGAL?, ¿TIENE SENTIDO QUE EL RESPONSABLE DE SEGURIDAD SEA UN ALTO CARGO?, ¿CUÁL ES EL PERFIL MÁS IDÓNEO PARA ESTA FUNCIÓN? 18
    2. ¿EL RESPONSABLE DE SEGURIDAD DEL ENS PUEDE SER LA MISMA PERSONA QUE EL RESPONSABLE DE

SEGURIDAD DE LA LOPD?19

    1. ¿CUÁLES SON LAS FUNCIONES DEL RESPONSABLE DEL SERVICIO, SEGÚN EL ENS? ¿QUÉ NIVEL ADMINISTRATIVO LE CORRESPONDE? 19
    2. ¿PUEDE UNA MISMA PERSONA SER RESPONSABLE DE LA INFORMACIÓN, RESPONSABLE DEL SERVICIO Y

RESPONSABLE DE SEGURIDAD?, ¿QUÉ ROLES SON INCOMPATIBLES EN UNA MISMA PERSONA? 19

    1. ¿ES OBLIGATORIA LA DIVISIÓN DE RESPONSABILIDADES CITADA EN LA GUÍA CCN-STIC 801?20
  2. PLAN DE ADECUACIÓN AL ENS 21
    1. ¿QUÉ PRIMEROS PASOS SE DEBEN ADOPTAR PARA CUMPLIR EL ENS?21
    2. ¿EXISTE ALGÚN MODELO DE POLÍTICA DE SEGURIDAD QUE PUEDA SERVIR DE REFERENCIA? 21
    3. ¿CUÁL ES EL IMPACTO DEL ENS EN LOS SISTEMAS ACTUALES? 22
    4. HABIENDO CONCLUIDO EL PLAZO PREVISTO EN EL ENS PARA REDACTAR Y APROBAR EL PLAN DE

ADECUACIÓN AL ENS, ¿ES NECESARIA SU REALIZACIÓN? 22

    1. ¿SE PUEDE HACER UN PLAN DE ADECUACIÓN SIN INCLUIR LA POLÍTICA DE SEGURIDAD? 22
    2. ¿SE PUEDE APROBAR UNA POLÍTICA DE SEGURIDAD SIN CONTEMPLAR LA ESTRUCTURA DE SEGURIDAD DE LA ORGANIZACIÓN DE LA SEGURIDAD? 22
    3. ¿DEBE PUBLICARSE EN LA SEDE ELECTRÓNICA DEL ORGANISMO EN CUESTIÓN EL PLAN DE ADECUACIÓN AL ENS? 23
    4. ¿PUEDE REALIZARSE UN ÚNICO PLAN DE ADECUACIÓN PARA VARIOS SISTEMAS DE INFORMACIÓN? 23
    5. ¿CÓMO DEBE SER EL PLAN DE ADECUACIÓN AL ENS?, ¿QUIÉN DEBE RESPONSABILIZARSE DE SU CUMPLIMIENTO?, ¿QUÉ SUCEDE CUÁNDO LA EXPLOTACIÓN DE LOS SERVICIOS ESTÁ ENCOMENDADA A UN DEPARTAMENTO HORIZONTAL, QUE ATIENDE A VARIOS ORGANISMOS? 23
  2. LAS GUÍAS STIC DEL CCN 24
    1. ¿ES OBLIGATORIO PARA LAS AA.PP. SEGUIR LO QUE SE INDICA EN LAS GUÍAS STIC DEL CCN?24
    2. ¿QUÉ GUÍAS STIC HAY PUBLICADAS? ¿CÓMO SE PUEDE ACCEDER A ELLAS? 24
  3. LA CATEGORIZACIÓN DE LOS SISTEMAS 24
    1. ¿EN QUÉ CONSISTE LA CATEGORIZACIÓN DE LOS SISTEMAS PARA LA ADOPCIÓN DE MEDIDAS DE SEGURIDAD? 24
    2. ¿CÓMO SE CATEGORIZAN LOS SISTEMAS? 24
    3. EN EL ANEXO I DEL ENS SE HACE REFERENCIA EN MUCHAS OCASIONES AL "INCUMPLIMIENTO FORMAL" Y AL "INCUMPLIMIENTO MATERIAL" DE UNA LEY, LO QUE CONDICIONARÍA EL NIVEL DE SEGURIDAD QUE LE CORRESPONDERÍA A LA DIMENSIÓN DE QUE SE TRATE 24
  4. EL ANÁLISIS DE RIESGOS Y LA GESTIÓN DE RIESGOS 25
    1. ¿ES NECESARIO REALIZAR UN ANÁLISIS DE RIEGOS, EN SENTIDO ESTRICTO? ¿NO BASTARÍA CON USAR LA EXPERIENCIA DE LOS TÉCNICOS DEL ORGANISMO PARA DETERMINAR QUÉ MEDIDAS SON LAS MÁS OPORTUNAS EN CADA CASO? 25
    2. HERRAMIENTAS PARA EL ANÁLISIS DE RIESGOS 25
    3. LA PRECEPTIVA DECLARACIÓN DE APLICABILIDAD, ¿HA DE REALIZARSE POR SISTEMA DE INFORMACIÓN O POR ÁREAS DE NEGOCIO? 26
    5. LA AUDITORÍA DE LA SEGURIDAD 26
    1. ¿CONTEMPLA EL ENS ALGÚN MECANISMO DE AUDITORÍA? 26
    2. ¿ES NECESARIO REALIZAR LA AUDITORIA DE LA SEGURIDAD POR UN AUDITOR INDEPENDIENTE DE LA ORGANIZACIÓN? ¿ES POSIBLE REALIZAR ESTA DECLARACIÓN DE CONFORMIDAD VALIÉNDOSE DE UNA AUTOEVALUACIÓN RESPECTO DEL ANEXO II DEL ENS? 27
  5. CERTIFICACIONES 27
    1. ¿QUIÉN CERTIFICA QUE UN DETERMINADO PRODUCTO CUMPLE FUNCIONALMENTE CON LAS EXIGENCIAS DE SEGURIDAD QUE SE REQUIEREN? 27
    2. ¿EXISTE ALGUNA CERTIFICACIÓN QUE ACREDITE LA ADECUACIÓN AL ENS POR PARTE DE UN ORGANISMO PÚBLICO? 28
  6. MEDIDAS DE SEGURIDAD 28
    1. ¿CÓMO SE DETERMINAN LAS MEDIDAS DE SEGURIDAD QUE HAY QUE APLICAR? 28
    2. MP.COM.2 ¿QUÉ DEBE ENTENDERSE POR DOMINIO DE SEGURIDAD? ¿CÓMO PROTEGER SISTEMAS INTERCONECTADOS? 29
    3. ¿ES DE APLICACIÓN EL ENS AL CORREO ELECTRÓNICO CORPORATIVO?29
  7. EL ENS Y LA NORMALIZACIÓN VOLUNTARIA RELATIVA A SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 30
    1. ¿ES EL ENS COMPATIBLE CON UNE ISO/IEC 27001:2007?, ¿SON NORMAS SIMILARES?, ¿SON COMPLEMENTARIAS? 30
    2. ¿CUÁL ES LA RELACIÓN ENTRE EL ENS Y LA NORMA UNE-ISO/IEC 27002:2009?31
    3. TENIENDO MI SERVICIO/SISTEMA CERTIFICADO CONTRA LA NORMA UNE ISO/IEC 27001:2007, ¿DEBO ENTENDER QUE YA ESTOY CUMPLIENDO CON EL ENS? 31
  8. Ancla
    1.3._¿Cuáles_son_los_objetivos_principal
    1.3._¿Cuáles_son_los_objetivos_principal
    Ancla
    1.2._¿Por_qué_es_necesario_el_ENS?
    1.2._¿Por_qué_es_necesario_el_ENS?
    Ancla
    1.1._¿Qué_es_el_Esquema_Nacional_de_Segu
    1.1._¿Qué_es_el_Esquema_Nacional_de_Segu
    Ancla
    1._CUESTIONES_GENERALES
    1._CUESTIONES_GENERALES
    CUESTIONES GENERALES
    1. ¿Qué es el Esquema Nacional de Seguridad (ENS)?

...