(VA) ENS - Si tinc certificació 27001 he d'entendre que ja estic complint amb el ENS?
Rotundament, no.
Com ja s'ha explicat en una pregunta anterior, l'Esquema Nacional de Seguretat i la norma UNEIX ISO/IEC 27001:2007 difereixen en la seua naturalesa, en el seu àmbit d'aplicació, en la seua obligatorietat i en els objectius que persegueixen.
L'ENS és una norma jurídica, el Reial decret 3/2010, que es troba al servei de la realització de drets de els ciutadans, d'aplicació obligatòria a totes les Administracions Públiques, i que tracta la 'protecció' de la informació i els serveis. ISO 27001 és una norma de g estión que indica com arribar a tindre un Sistema de Gestió de Seguretat de la Informació (per a això es recolza en les recomanacions d'ISO 27002).
Mentre que la norma UNEIX ISO/IEC 27001:2007, de caràcter voluntari, és una norma de 'gestió' que conté els requisits per a la construcció de un sistema de gestió de seguretat de la informació, contra la qual pot, si escau, de forma voluntària, certificar-se una entitat.
No obstant això, cal precisar que qui haja certificat el seu Servei/Sistema conforme a la norma UNEIX ISO/IEC 27001:2007 està molt prop de assegurar el compliment de l'ENS, la conformitat del qual ha d'aconseguir-se seguint la metodologia descrita en els Annexos I, II i III del Reial decret.
3/2010.
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA