Las normas ISO/IEC 27001:2022 e ISO/IEC 27002:2022 (ISO 27001 o ISO 27002 en adelante) y el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS en adelante) tienen objetivos comunes, pero su implementación y certificación difieren en aspectos sustanciales.
FONDO COMÚN
Sistema de Gestión de la Seguridad de la Información (SGSI) certificable.
Tanto ISO 27001 como ENS construyen, mantienen y evolucionan un SGSI, por lo que sus objetivos y resultados son comunes. Su enfoque orientado al análisis y gestión de los riesgos TI es común para ambas y sus esquemas de certificación, con sus particularidades, mantienen también unas actividades muy similares.
Medidas de seguridad
En cuanto a las medidas de seguridad, en el caso del ENS especificadas en su Anexo II y en el caso de ISO 27001 recogidas en la norma ISO 27002, comparten criterios y guías de implementación dado que tratan los mismos campos de aplicación.
DIVERGENCIAS
Obligatoriedad.
La norma ISO 27001 no tiene carácter obligatorio para el cumplimiento normativo. Su implementación y certificación viene determinado por la conciencia en materia de seguridad TI de una organización – En España, en numerosas ocasiones, conciencia “sobrevenida” tras un evento TI disruptivo – o bien por requerimientos de interlocutores de negocio que exigen seguridad TI en su cadena de suministros.
En cambio, el cumplimiento del ENS y su acreditación es obligatorio para todo el sector público y para el sector privado que preste servicios y/o venda productos al sector público donde puedan estar implicadas cuestiones relacionadas con la seguridad y también cuando existan tratamientos de datos personales.
Esta última cuestión amplía el escenario de aplicabilidad del ENS, dado que, en la Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD en adelante) se menciona el ENS en su Disposición adicional primera, al señalar el ENS como marco de referencia para las medidas de seguridad que deben implementarse cuando existen tratamientos de datos personales en el sector público y en el sector privado suministrador de productos y servicios implicados en dichos tratamientos.
Licenciado en Informática por la Universitat Politécnica de Catalunya. E.U. en Protección de Datos y Privacidad por la Facultad de Derecho de la Universidad de Murcia. CISA, CISM, CGEIT, COBIT 5 Implementer, Lead Auditor ISO 27001-TC y Auditor del Esquema Nacional de Seguridad. Carrera profesional desarrollada en Ingeniería de sistemas, DBA y, principalmente, consultoría y auditoría sobre marcos y normas asociadas a la seguridad de la información, tanto en sector público como privado. Colaborador de ISACA HQ desde 2004, autor de numerosas publicaciones, cursos y ponencias sobre estas materias, miembro del COIICV, ISACA, itSMF España, APEP e ISMS Forum.
Todo lo que un Directivo debe saber...
Ha llegado la hora de formar a la Alta Dirección
Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.
Debe estar conectado para enviar un comentario.