Autodiagnosis de Cumplimiento del ENS

AUTODIAGNOSIS DE CUMPLIMIENTO DEL ENS

Paso 1 de 5

20%

¿Conoce sus obligaciones legales respecto al Esquema Nacional de Seguridad? Realice ahora su propio autodiagnóstico:

Datos personales(Obligatorio)

Nombre Apellidos

Organización(Obligatorio)

Correo electrónico(Obligatorio)

Teléfono

Hidden

Fecha

MM barra DD barra AAAA

Aviso legal(Obligatorio)

He leído y acepto la política de privacidad de Garante Privacy.

CAPTCHA

1. CUMPLIMIENTO DE ARTÍCULOS DEL ENS

1.1. Art. 5 ITS y guías de seguridad.

La organización conoce y mantiene actualizada la relación de las Instrucciones Técnicas de Seguridad (ITS) y guías de seguridad (especialmente las CCN-STIC) que son de aplicación a sus sistemas de información.(Obligatorio)

CUMPLE

NO CUMPLE

1.1. Observaciones

Posibilidades(Obligatorio)

Se dispone de acceso a las guías CCN-STIC por parte del personal con necesidad de conocer, ya sea en el portal del CCN, o en repositorios de la organización para las guías de uso frecuente.

No se dispone de acceso a dichas guías CCN-STIC por parte de las personascon necesidad de conocer, ya sea en el portal del CCN, o en repositorios de la organización y no los tiene en cuenta en cuanto a las recomendaciones e implementaciones de medidas de seguridad.

Elija la opción que proceda.

1.2. Art. 28 Declaración de aplicabilidad.

Se dispone de un documento formal que relacione las medidas y refuerzos de seguridad indicados en el anexo II del RD 311/2022 de 3 de mayo, con indicación de su aplicabilidad al sistema de información.(Obligatorio)

CUMPLE

NO CUMPLE

1.2. Observaciones

Posibilidades(Obligatorio)

La Declaración de Aplicabilidad está suscrita por el Responsable de Seguridad como prueba de su compromiso respecto a la supervisión del cumplimiento de las medidas de seguridad en ella reflejadas.

La organización no identifica las medidas que aplican, en base a la categoría y niveles de las dimensiones del sistema de información, ni ustifica suficientemente la exclusión de las mismas.

1.3. Art. 30 Perfiles de cumplimiento.

En virtud del principio de proporcionalidad y buscando una eficaz y eficiente aplicación del ENS, la organización establece medidas de seguridad tras el preceptivo análisis de riesgos que resulten idóneas para una concreta categoría de seguridad.(Obligatorio)

CUMPLE

NO CUMPLE

1.3. Observaciones

Posibilidades(Obligatorio)

En caso de que la organización se acoja a un perfil de cumplimiento específico, aplicable a la entidad y validado por el CCN, se ha recogido y justificado su aplicación en la Declaración de Aplicabilidad.

Las instrucciones técnicas de seguridad o implementaciones de productos, sistemas o servicios prestados en la nube o en forma remota a la organización, no están validadas y publicadas por el CCN en el ejercicio de sus competencias.

1.4. Art. 32 Informe del estado de la seguridad (INES).

La organización dispone del acceso electrónico al último informe INES de la organización.(Obligatorio)

CUMPLE

NO CUMPLE

1.4. Observaciones

Posibilidades(Obligatorio)

La organización aporta y actualiza la información necesaria, al menos anualmente, lo que permite consolidar la información de modo que pueda elaborar el informe INES para la entidad titular de los sistemas de información.

No se realiza la disposición de la información relacionada con el estado de las principales variables de la seguridad en los sistemas de información, de forma que permita elaborar un perfil general del estado de la seguridad.

1.5. Art. 38 PROCEDIMIENTOS DE DETERMINACIÓN DE LA CONFORMIDAD CON EL ESQUEMA NACIONAL DE SEGURIDAD.

La organización da publicidad en las páginas web, sedes electrónicas, etc., a las declaraciones y certificaciones de conformidad con el ENS y se incluye un enlace en el Distintivo de Certificación de Conformidad al documento correspondiente.(Obligatorio)

CUMPLE

NO CUMPLE

1.5. Observaciones

Posibilidades(Obligatorio)

Se dispone de una auditoría para la certificación de su conformidad para los sistemas de categoría MEDIA o ALTA.

Se dispone de los sistemas de una autoevaluación para su declaración de la conformidad al tratarse de sistemas de categoría BÁSICA, sin perjuicio de que se puedan someter igualmente a una auditoria de certificación.

No se dispone de declaraciones y certificaciones de conformidad con el ENS.

1.6. Art.40 y 41 Categorización de los sistemas de información.

La organización cuenta con la determinación de la categoría de seguridad se efectuará en función de la valoración del impacto que tendría un incidente que afectase a la seguridad de la información o de los servicios con perjuicio para la disponibilidad, autenticidad, integridad, confidencialidad o trazabilidad.(Obligatorio)

3.1. Análisis de riesgos.

La organización cuenta con un análisis de riesgos documentado, cuya última iteración se ha realizado en fecha adecuada.(Obligatorio)

CUMPLE

NO CUMPLE

3.1. Observaciones

Posibilidades(Obligatorio)

Se dispone de documentación de la última iteración de análisis de riesgos y, en su caso, de la herramienta empleada, así como de las salvaguardas que se hayan determinado y de la metodología del análisis de riesgos.

No se cuenta con un análisis de riesgos documentado o no se ha realizado al menos una vez al año o siempre que el sistema de información experimente cambios relevantes.

3.2. Planificación.

La organización establece su arquitectura de seguridad, planifica la adquisición de nuevos componentes con el dimensionamiento/gestión de la capacidad, así como mediante la incorporación en su caso de componentes certificados.(Obligatorio)

CUMPLE

NO CUMPLE

3.2. Observaciones

Posibilidades(Obligatorio)

La organización dispone de de arquitectura de seguridad, planifica la adquisición de nuevos componentes con el dimensionamiento/gestión de la capacidad, así como mediante la incorporación en su caso de componentes certificados.

No se cuenta con la planificación de estas actividades.

3.3. Medidas del marco operacional.

La organización cuenta con medidas adecuadas a la categoría de seguridad de sus sistemas de información para control de acceso, explotación, recursos externos, servicios en la nube, continuidad del servicio y monitorización del sistema.(Obligatorio)

CUMPLE

NO CUMPLE

3.3. Observaciones

Posibilidades(Obligatorio)

La organización dispone de mecanismos de registro como evidencias de cumplimiento de las medidas adecuadas a la categoría de seguridad de sus sistemas de información para control de acceso, explotación, recursos externos, servicios en la nube, continuidad del servicio y monitorización del sistema.

La organización no dispone de mecanismos de registro como evidencias de cumplimiento de las medidas adecuadas del marco operacional.

4. MEDIDAS DE PROTECCIÓN

4.1. Disposición de las medidas de protección del ANEXO II.

La organización cuenta con la disposición de las medidas de protección del ANEXO II Medidas de Seguridad del ENS, a la categoría de seguridad de sus sistemas de información.(Obligatorio)

CUMPLE

NO CUMPLE

Más información sobre el ANEXO II disponible aquí.

4.1. Observaciones

Posibilidades(Obligatorio)

La organización caracteriza y documenta cada medida de protección del ANEXO II Medidas de Seguridad del ENS, que le es de aplicación conforme a la categoría de seguridad de sus sistemas de información.

La organización no dispone de un soporte documental o registros de las evidencias objetivas del cumplimiento de las medidas de protección del ANEXO II Medidas de Seguridad del ENS o no son adecuadas a la categoría de seguridad de sus sistemas de información.

El resultado de la Autodiagnosis es el siguiente:

% CUMPLE

% NO CUMPLE

CONCLUSIONES

Haz clic en «TERMINAR INFORME» para finalizar. Tus resultados te serán remitidos a {Correo electrónico:9}

Cookie	Duración	Descripción
cookielawinfo-checkbox-analiticas	1 year	No description available.
cookielawinfo-checkbox-funcionales	1 year	No description available.
cookielawinfo-checkbox-necesarias	1 year	No description
cookielawinfo-checkbox-otras	1 year	No description
cookielawinfo-checkbox-publicitarias	1 year	No description available.
cookielawinfo-checkbox-rendimiento	1 year	No description available.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Cookie	Duración	Descripción
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.