ISOTools ofrece a las entidades públicas soluciones para dar cumplimiento al Esquema Nacional de Seguridad - ENS a través de la implementación de Sistemas de Gestión basados en normas internacionales de Seguridad de la Información como la ISO 27.001.
La finalidad del Esquema Nacional de Seguridad es la de crear las condiciones necesarias para la confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.
Persigue fundamentar la confianza en que los sistemas de información prestarán sus servicios y custodiarán la información de acuerdo con sus especificaciones funcionales, sin interrupciones o modificaciones fuera de control y sin que la información pueda llegar al conocimiento de personas no autorizadas.
Estamos ante los principios de un SGSI, confidencialidad, integridad y disponibilidad y todo ello llevado a sistemas, comunicaciones, servicios electrónicos, etc., es decir, Gestión de la Seguridad ISO 27.001.
El RD 3/2010, por el que se regula el Esquema Nacional de Seguridad, viene a confirmar la necesidad de implatar en las administraciones públicas un SGSI - ISO 27.001. Para ello, ISOTools proporciona una herramienta ideal, un software especialmente diseñado para la implantación y mantenimiento de este Sistema de Gestión.
Las similitudes entre un SGSI y los requisitos del RD 3/2010 del Esquema Nacional de Seguridad son evidentes, como se muestra en la siguiente tabla:
| Requisitos del RD |
ISO 27001 |
| Artículo 4. Principios básicos |
4.2 Creación del SGSI |
| Análisis y gestión de los riesgos |
4.2.1 Creación del SGSI |
| Artículo 9. Reevaluación periódica |
4.2.3 Monitorización y revisión del SGSI |
| Artículo 7 |
PDCA |
| Organización e implantación del proceso de seguridad |
5.1 Compromiso de la dirección |
| Gestión de personal |
5.2.2 Concienciación, formación y capacitación en seguridad |
| Profesionalidad |
5.2.2 + A.8 + A.6.2.3 |
| Autorización y control de los accesos |
A.11.1 + A.11.6 |
| Protección de las instalaciones |
A.9 Seguridad física y ambiental |
| Adquisición de productos |
A.15.2.2 Comprobación del cumplimiento técnico en materia de seguridad |
| Seguridad por defecto |
A.12.1.1 Análisis y especificación de requisitos de seguridad |
| Integridad y actualización del sistema |
A.6.1.4 + A.12.6.1 + A.6.1.7 |
| Protección de la información almacenada y en tránsito |
A.10.8.3 Soportes físicos en tránsito |
| Prevención ante otros sistemas de información interconectados |
A.10.6 Gestión de seguridad de red y A.6.2 Trato con terceros |
| Registro de actividad |
"A.10.10.1 Registro de auditorias y A.10.10.2 Supervisión del uso del sistema |
| Incidentes de seguridad |
A.13.1.1 Notificación de eventos de seguridad |
| Continuidad de la actividad |
"A.14 Gestión de continuidad de negocio y A.10.5 Copias de seguridad" |
| Mejora continua del proceso de seguridad |
8.1 Mejora continua |
| CAPITULO IV |
A.10.6 Gestión de seguridad en red y A.12.3.1 Política de uso de controles criptográficos |
| CAPITULO V |
4.2.3 Supervisión y revisión del SGSI |
|
