de seguridad de la información es un requisito exigido. Los niveles de segu-ridad que hay que lograr se derivan de la categorización de los sistemas y en función de ésta el Anexo II define las medidas de seguridad (controles que hay que implantar). Tanto el SGSI como el Esquema Na-cional de Seguridad formalizan en el documento Declaración de Aplicabili-dad la relación de controles/medidas de seguridad que hay que implantar. Ante la posibilidad de disparidad o di-ferencia entre los controles propuestos por la Norma UNE-ISO/IEC 27001 y las medidas de seguridad identificadas en el Anexo II del Esquema Nacional de Seguridad, la propia norma elimina esta posible barrera que aparece en el párrafo 6.1.3 Tratamiento de los riesgos de seguridad de la información, en su punto b, que dice: Determinar todos los controles que sean necesarios para poner en práctica la opción de trata-miento de riesgos de seguridad de la información elegida. NOTA: Las organizaciones pueden diseñar controles según sea necesa-rio, o identificarlos a partir de cualquier fuente. Si la fuente utilizada para implantar los controles es el Anexo II del Esque-ma Nacional de Seguridad, la super-posición es completa. Con más fines prácticos, se pueden señalar estas sencillas pero clarificado-ras conclusiones: • Es perfectamente factible implantar el Esquema Nacional de Seguridad en el marco de un SGSI basado en la Norma UNE-ISO/IEC 27001. • Se deberá comprobar que dentro del alcance del SGSI se incluyen todos los sistemas de información objeto del Esquema Nacional de Seguridad (utilización de medios electrónicos en el ámbito de la Ad-ministración). • En la valoración de los activos se deberán considerar dos nuevas di-mensiones, como son la trazabilidad y la autenticidad, además de los ya considerados de confidencialidad, disponibilidad e integridad. • Se deberá realizar una categoriza-ción de los sistemas de acuerdo con la valoración de los activos. • La declaración de aplicabilidad del Esquema Nacional de Seguridad vendrá determinada por la catego-rización establecida e indica las me-didas de seguridad aplicables. • El Esquema Nacional de Seguridad detalla más explícitamente los con-troles y medidas de seguridad que hay que aplicar. • Toda la experiencia acumulada en la implantación y certificación de Sistemas de Gestión de la Informa-ción según la Norma UNE-ISO/IEC 27001 es exportable y adaptable al entorno de las Administraciones Pú-blicas para facilitar la implantación y certificación del cumplimiento del Esquema Nacional de Seguridad. Por supuesto estas conclusiones no tienen ningún ánimo de exhaustivi-dad, siendo un punto de inicio para futuras reflexiones. ◗ Para llevar a cabo esta auditoría de conformidad del Esquema Nacional de Seguridad con los requisitos exigidos por la ley, AENOR ha actuado considerando la Norma ISO/IEC 17021:2011 AENOR 28 ESQUEMA NACIONAL DE SEGURIDAD
292
To see the actual publication please follow the link above