El Esquema Nacional de Seguridad persigue fundamentar la confianza de los ciudadanos en que los sistemas de información prestarán sus servicios y custodiarán la información de acuer-do con sus especificaciones funciona-les, sin interrupciones o modificaciones fuera de control, y sin que la informa-ción pueda llegar al conocimiento de personas no autorizadas. Para generar y acreditar esta con-fianza, el propio Esquema Nacional de Seguridad define unos mecanis-mos de verificación (artículo 34 y Ane-xo III Auditoría) y transparencia (artícu-lo 41 Publicación de conformidad). Así pues, el mecanismo de verificación es la auditoría de seguridad descrita en el mencionado artículo 34 y Anexo III. Y es que, el punto 4 de este artículo dice: En la realización de esta auditoría se uti-lizarán los criterios, métodos de trabajo y de conducta generalmente reconoci-dos, así como la normalización nacional e internacional aplicables a este tipo de auditorías de sistemas de información. Primera auditoría de seguridad AENOR, como entidad indepen-diente de certificación con más de 28 años de experiencia y cerca de 300 certificados vigentes de acuerdo con la Norma UNE-ISO/IEC 27001 de Sistemas de Gestión de Seguridad de la Información, abordó el reto de realizar esta auditoría de seguridad. El proceso culminó de forma satis-factoria con la entrega el pasado 14 de marzo del primer Certificado de Conformidad con el Esquema Nacio-nal de Seguridad al Consejo General de la Abogacía Española y Red Abo-gacía. El alcance de esta certificación incluye los sistemas de información que dan soporte a los servicios del Ex-pediente Electrónico de Justicia Gra-tuita, el portal www.justiciagratuita.es y la Ventanilla Única de la Abogacía www.ventanillaunicaabogados.org. Para llevar a cabo esta auditoría de conformidad del Esquema Na-cional de Seguridad con los requisi-tos exigidos por la ley, AENOR ha ac-tuado considerando la Norma ISO/ IEC 17021:2011 Evaluación de la Conformidad. Requisitos para los or-ganismos que realizan la auditoría y certificación de sistemas de gestión co-mo en otros esquemas de certificación (ver figura 1). El Anexo III del Esquema Nacional de Seguridad (1. Objeto de la audito-ría), en su punto 1 dice: La seguridad de los sistemas de información de una organización será auditada en los si-guientes términos: f. Que existe un sistema de gestión de la seguridad de la información, do-cumentado y con un proceso regu-lar de aprobación por la dirección. Entonces, ¿cómo relacionar los requisitos de un Sistema de Ges-tión de Seguridad de la Información (SGSI) con el Esquema Nacional de Tanto el SGSI como el Esquema Nacional de Seguridad utilizan un enfoque basado en la gestión de los riesgos con la mejora continua como marco de referencia AENOR 26 ESQUEMA NACIONAL DE SEGURIDAD
292
To see the actual publication please follow the link above