Consultoría Esquema Nacional de Seguridad 

Sistema de Gestión de Seguridad de la Información
ENS Categoría Básica

ISOmas ENS Básico

ENS Categoría Básica

Importe 2.760,00€

Consultoría «Llave en Mano», que incluye:

  • Sofware ISO+Base Quality SGSI.
  • Desarrollo consultoría e implantación.
  • Auditoría Interna.
  • Formación y entrenamiento.
  • Acompañamieto en Auditoría Externa de Certificación.
  • Soporte resolución planes de acción (Auditoría externa).
  • Garantía cumplimiento objetivos.
  • Acceso anual EXTRANET www.misistemadegestion.com

¿Qué incluye este servicio de consultoría para del desarrollo, implantación y soporte certificación ENS?

Software de Gestión ISO+Base 8.0, Base metodológica garantizada para la adecuación de los requisitos ENS categoría Básica

Parametrización personalizada de la herramienta de gestión e instalación en propiedad sin cuotas adicionales.

Desarrollo de la información documentada necesaria y soporte en la implantación del sistema de Gestión de Seguridad de la Información según los requisitos de la norma de referencia ISO a través de los siguientes SIETE MODULOS de funcionalidad;

  • Contexto Organizativo. Establecimiento del punto de partida para las cuestiones internas y externas de la organización. Identificación de Partes Interesadas y análisis de requisitos. Identificación y gestión de Activos de Seguridad (Vulnerabilidades y Amenazas).
  • Gestión por Procesos. Identificación y revisión del contenido para los PROCESOS NECESARIOS de la organización. Mapa de Proceso. Cuadro de Mando y control de indicadores. Evaluación de proveedores y control de suministros externos.
  • Gestión Proceso Seguridad de la Información. Gestión Proceso Seguridad de la Información. Identificación y revisión del contenido para el PROCESO DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN de la organización. REVISIÓN Declaración de Aplicabilidad. Control operacional. Seguimiento estado de madurez de relación de controles Anexo III: Tabla de verificación del cumplimiento del ENS de la Guía de Seguridad de las TIC.
  • Gestión de Recurso de Apoyo. Gestión y evaluación de competencias del personal. Gestión de la formación en mejora continua. Gestión de infraestructuras y equipos. Establecimiento del Plan de Comunicación y Gestión del Conocimiento.
  • Gestión de Información Documentada. Listados de documentos en Vigor. Identificación de requisitos legales generales y ambientales (Adecuación no incluida).
  • Gestión de RIESGOS. Identificación, evaluación y planificación de mejora para los RIESGOS de los requisitos de las partes interesadas, de los procesos necesarios y de los activos de seguridad. Criterios cuantitativos de evaluación (Matriz Probabilidad / Consecuencia).
  • Gestión de MEJORA. Modelo para la gestión de incidencias y/o no conformidades. Identificación, evaluación y planificación de mejora para los OPORTUNIDADES de los requisitos de las partes interesadas y de los procesos necesarios. Diagnóstico auditoría de evaluación de conformidad. Control de Informes de Revisión del Sistema.
  • Gestión ESTRATÉGICA. ANÁLISIS DAFO. Gestión de Mejoras. ANALISIS CAME. Gestión OBJETIVOS.

Planificación y realización de Auditoría Interna.

Soporte para Auditoría de Certificación: Coordinación y asistencia técnica (Incluye hasta 2 jornadas técnicas de acompañamiento presencial)

Nombramiento asignación técnico Consultor ISOMAS, como RESPONSABLE del sistema INTERLOCUTOR con competencia técnica para la gestión del sistema en auditoría externa. Soporte resolución Planes Acciones Correctivas (AE).

Evaluación de Proveedores. Gestión segura de envíos de cuestionarios de evaluación y preparación de informes.

Formación y entrenamiento SISTEMAS GESTIÓN metodología ISO+Base. Certificado aprovechamiento ISOMAS 20h.

Certificado Implantación ISOMAS ENS Gestión Seguridad de la Información.

Garantías de cumplimiento de objetivos sin costes adicionales.

Plataforma de comunicación web (misistemadegestión.com/organizacion) para la publicación de los DOCUMENTOS DEL SISTEMA, con acceso público a Partes interesadas externas y restringido para Empleados – Colaboradores y Dirección del Sistema: Licencia de uso anual desde la certificación del sistema.

Tramitación y adecuación de requisitos legales de obligado cumplimiento no incluidos

Ver más

¿Cuánto tiempo tardaría en el desarrollo, implantación, auditoría y certificación?

Un proyecto de desarrollo, implantación, auditoría y certificación de Sistema de Gestión de seguridad de la información según los requisitos de la norma de referencia ENS de categoría Básica, para modelos estandarizados, puede llevarse a cabo, con las máximas garantías de éxito, en un plazo de hasta tres meses.

Los tiempos finales y la asignación de los recursos al proyecto se recoge en la planificación, tras la aprobación de la propuesta técnico-económica.

 

¿A quién va dirigido?

Desde ISOMAS hemos desarrollado una metodología ESTANDARIZADA, con comercialización directa, para el desarrollo, implantación y soporte en certificación de sistemas de gestión de seguridad de la información, según los requisitos ENS categoría Básica.

Esta metodología o modelo de desarrollo ISOMAS ENS, puede aplicarse independientemente del sector de actividad, estando diseñada para pequeñas organizaciones con categoría evaluación «Básica». Para organizaciones de mayor complejidad, la metodología debe de ser adaptada bajo proyecto a medida.

Medidas seguridad aplicables categoría ENS Básico: Marco organizativo.

Ver más

Medidas seguridad aplicables categoría ENS Básico: Marco operacional.

Medidas seguridad aplicables categoría ENS Básico: Medidas de protección.

Plataforma de publicación de Documentos del Sistema

Plataforma de publicación de contenidos documentales, generados y editados desde la herramienta ISO+Base, parea su distribución a la toda la organización y resto de partes interesadas.

Ver más

Niveles de acceso a los Documentos del Sistema

La plataforma está desarrollada con tres niveles de acceso;

  • Público, para las partes interesadas externas. En se documenta una descripción del modelo de sistema de gestión implantado y mantenido vigente. Dando acceso a documentos, ente otros, como: Políticas, certificados, condiciones para suministradores. Además, se incluye los canales para comunicación, con: SUGERENCIAS & CONSULTAS, QUEJAS & RECLAMACIONES & INCIDENCIAS y EVALUACION SATISFACCION

  • Restringido general, para el personal. Se habilita acceso a los Documentos del Sistema, en las siguientes secciones: Contexto organizativo, Procesos necesarios de gestión, Elementos de Apoyo, Información Documentada, Enfoque a Riesgos, Mejora continua y Estrategia organizativa. Además, se incluye el canal de información y tomas de conciencia.
  • Restringida dirección, para la dirección y auditores. Se habilita acceso a los Documentos del Sistema de alto nivel, en las siguientes secciones: Contexto organizativo, Procesos necesarios de gestión, Elementos de Apoyo, Información Documentada, Enfoque a Riesgos, Mejora continua y Estrategia organizativa.

 

¿Qué es el ENS?

El Esquema Nacional de Seguridad (ENS) proporciona al Sector Público en España un planteamiento común de seguridad para la protección de la información que maneja y los servicios que presta; impulsa la gestión continuada de la seguridad, imprescindible para la transformación digital en un contexto de ciberamenazas; a la vez que facilita la cooperación y proporciona un conjunto de requisitos uniforme a la Industria, constituyendo también un referente de buenas prácticas.

La Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas recoge entre los derechos de las personas en sus relaciones con las Administraciones Públicas, establecidos en su artículo 13, el relativo “a la protección de datos de carácter personal, y en particular a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas”. A la vez que la seguridad figura entre los principios de actuación de las administraciones públicas, así como la garantía de la protección de los datos personales, según lo establecido en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público en su artículo 3 que trata los principios generales relativos a las relaciones de las administraciones por medios electrónicos.

Para dar respuesta a todo lo anterior, el artículo 156 de la Ley 40/2015 recoge el Esquema Nacional de Seguridad (ENS) que “tiene por objeto establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la presente Ley, y está constituido por los principios básicos y requisitos mínimos que garanticen adecuadamente la seguridad de la información tratada”.

El ENS fue establecido anteriormente por el artículo 42 de la Ley 11/2007 y está regulado por el Real Decreto 3/2010, de 8 de enero, que fue modificado por el Real Decreto 951/2015(Abre en nueva ventana) para actualizarlo a la luz de la experiencia obtenida en su implantación, de la evolución de la tecnología y las ciberamenazas y del contexto regulatorio internacional y europeo.

Ver más

Objetivos

El Esquema Nacional de Seguridad (ENS) persigue los siguientes objetivos:

  • Crear las condiciones necesarias de seguridad en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos, que permita el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
  • Promover la gestión continuada de la seguridad.
  • Promover la prevención detección y corrección, para una mejor resiliencia en el escenario de ciberamenazas y ciberataques.
  • Promover un tratamiento homogéneo de la seguridad que facilite la cooperación en la prestación de servicios públicos digitales cuando participan diversas entidades. Esto supone proporcionar los elementos comunes que han de guiar la actuación de las entidades del Sector Público en materia de seguridad de las tecnologías de la información; también aportar un lenguaje común para facilitar la interacción, así como la comunicación de los requisitos de seguridad de la información a la Industria.
  • Servir de modelo de buenas prácticas, en línea con lo apuntado en las recomendaciones de la OCDE «Digital Security Risk Management for Economic and Social Prosperity – OECD Recommendation and Companion Document».

En el Esquema Nacional de Seguridad se concibe la seguridad como una actividad integral, en la que no caben actuaciones puntuales o tratamientos coyunturales, debido a que la debilidad de un sistema la determina su punto más frágil y, a menudo, este punto es la coordinación entre medidas individualmente adecuadas, pero deficientemente ensambladas.

Elementos del Esquema Nacional de Seguridad

Los elementos principales del ENS son los siguientes:

  • Los principios básicos a considerar en las decisiones en materia de seguridad (arts. 4-10).
  • Los requisitos mínimos que permitan una protección adecuada de la información (arts. 11-26).
  • El mecanismo para lograr el cumplimiento de los principios básicos y de los requisitos mínimos mediante la adopción de medidas de seguridad proporcionadas a la naturaleza de la información y los servicios a proteger (arts. 27, 43, 44, Anexo I y Anexo II).
  • El uso de infraestructuras y servicios comunes (art. 28).
  • Las guías de seguridad (art. 29).
  • Las instrucciones técnicas de seguridad (art. 29 y disposición adicional cuarta).
  • Las comunicaciones electrónicas (arts. 31 a 33)
  • La auditoría de la seguridad (art. 34 y Anexo III).
  • La respuesta ante incidentes de seguridad (arts. 36 y 37).
  • El uso de productos certificados (art. 18., Anexo II y Anexo V).
  • La conformidad (art. 41).
  • La formación y la concienciación (disposición adicional primera).

El mandato principal del ENS es el establecido en el artículo 11 ‘Requisitos mínimos de seguridad’, según el cual “todos los órganos superiores de las Administraciones públicas deberán disponer formalmente de su política de seguridad que articule la gestión continuada de la seguridad, que será aprobada por el titular del órgano superior correspondiente”, que se establecerá en base a los principios básicos y que se desarrollará aplicando los requisitos mínimos.

Medidas de seguridad recogidas en el ENS

Marco Organizativo (4) El marco organizativo está constituido por un conjunto de medidas relacionadas con la organización global de la seguridad.

Marco Operacional (31) El marco operacional está constituido por las medidas a tomar para proteger la operación del sistema como conjunto integral de componentes para un fin.

Medidas de Protección (40) Las medidas de protección se centrarán en activos concretos, según su naturaleza, con el nivel requerido en cada dimensión de seguridad.

Productos relacionados:

Abrir chat