(ES) ENS - Si tengo certificación 27001 ¿debo entender que ya estoy cumpliendo con el ENS?

Rotundamente, no.

Como ya se ha explicado en una pregunta anterior, el Esquema Nacional de Seguridad y la norma UNE ISO/IEC 27001:2007 difieren en su naturaleza, en su ámbito de aplicación, en su obligatoriedad y en los objetivos que persiguen.

El ENS es una norma jurídica, el Real Decreto 3/2010, que se encuentra al servicio de la realización de derechos de los ciudadanos, de aplicación obligatoria a todas las Administraciones Públicas, y que trata la 'protección' de la información y los servicios. ISO 27001 es una norma de gestión que indica cómo llegar a tener un Sistema de Gestión de Seguridad de la Información (para ello se apoya en las recomendaciones de ISO 27002).

Mientras que la norma UNE ISO/IEC 27001:2007, de carácter voluntario, es una norma de 'gestión' que contiene los requisitos para la construcción de un sistema de gestión de seguridad de la información, contra la que puede, en su caso, de forma voluntaria, certificarse una entidad.

Sin embargo, cabe precisar que quién haya certificado su Servicio/Sistema conforme a la norma UNE ISO/IEC 27001:2007 está muy cerca de asegurar el cumplimiento del ENS, cuya conformidad debe alcanzarse siguiendo la metodología descrita en los Anexos I, II y III del Real Decreto 3/2010.