¡Comparte en redes sociales!

Comparativa medidas de seguridad: ENS vs. ISO 27001

ISO 27001

La norma ISO 27001 es una norma internacional certificable y de carácter voluntario para cualquier sistema de gestión de seguridad de la información. Su cumplimiento se evidencia erga omnes mediante una certificación, expedida por un auditor autorizado y previa auditoría con resultado satisfactorio. Los requisitos de la Norma UNE-ISO/IEC 27001, al igual que sucede con otros sistemas de gestión, son aplicables a todo tipo de organizaciones, independientemente de su naturaleza, tamaño o sector de actividad.

Esquema Nacional de Seguridad

Por su parte, el Esquema Nacional de Seguridad, más conocido por sus siglas, ENS, es una disposición de carácter legal, de obligado cumplimiento para los sistemas de información del ámbito de aplicación de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Su cumplimiento se evidencia erga omnes mediante una declaración de conformidad legal, igualmente previa auditoría con resultado satisfactorio.

ENS y ISO 27001

Aunque ambos mecanismos son distintos, muchas de las medidas de seguridad son idénticas o complementarias. Es por ello que, en este post, nos centraremos en aquellas medidas que requieren un mayor esfuerzo entre ambos marcos de seguridad con el fin de esclarecer algunas dudas que se nos plantean a la hora de certificar empresas que desean realizar auditorías complementarias con ambos marcos de seguridad. 

En primer lugar, el ENS incluye una serie de controles para garantizar la continuidad del servicio frente a la ISO 27001 que es un marco que no trata este asunto, pues para ello está la ISO 22301, una norma internacional de gestión de continuidad de negocio.

Respecto al apartado de “Planificación” del ENS, destacar que se añade un control específico para la adquisición de nuevos componentes, mientras que la ISO27001 lo refleja de modo muy disperso.

Sobre los “Controles de Acceso”, la ISO 27001 prácticamente sólo trata contraseñas y secretos compartidos en general. Sin embargo, el ENS establece varios modos de autenticación y modula su uso en función de la categoría del sistema.

En cuanto al apartado de “Explotación”, el ENS recoge varios controles sobre configuración de la seguridad y su gestión. Por su parte, la ISO 27001 no los contempla.

Igualmente, hay que prestar atención al apartado de “Protección de la Información” del ENS; ya que la ISO 27001 no hace referencia a los “Sellos de tiempo” ni a la “Limpieza de documentos”.

Por último, el apartado de “Protección de los Servicios” no se encuentra recogido por la ISO 27001, por lo que debe cubrirse en su totalidad por el ENS.

Fuente:

Guía CCN-STIC 825

Avatar Of Óscar J Labella

IT Lawyer | Governance, Risk & Compliance | Privacy

Suscríbete a nuestra newsletter para estar al día de todas las novedades

Información básica sobre protección de datos.
Responsable del tratamiento: Mainfor Soluciones Tecnológicas y Formación S.L.U.
Finalidad: Gestionar su suscripción a la newsletter.
Legitimación para el tratamiento: Consentimiento explícito del interesado otorgado al solicitar la inscripción.
Cesión de datos: No se cederán datos a terceros, salvo obligación legal.
Derechos: Podrá ejercitar los derechos de Acceso, Rectificación, Supresión, Oposición, Portabilidad y, en su caso Limitación, como se explica en la información adicional.
Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en https://www.mainfor.edu.es/politica-privacidad
Blog Master Dpo

Leave a Comment