• ENS - Esquema Nacional de Seguridad
  • CAPÍTULO I Disposiciones generales
    • Artículo 1. Objeto.
    • Artículo 2. Definiciones y estándares.
    • Artículo 3. Ámbito de aplicación.
  • CAPÍTULO II Principios básicos
    • Artículo 4. Principios básicos del Esquema Nacional de Seguridad.
    • Artículo 5. La seguridad como un proceso integral.
    • Artículo 6. Gestión de la seguridad basada en los riesgos.
    • Artículo 7. Prevención, reacción y recuperación.
    • Artículo 8. Líneas de defensa.
    • Artículo 9. Reevaluación periódica.
    • Artículo 10. La seguridad como función diferenciada.
  • CAPÍTULO III Requisitos mínimos
    • Artículo 11. Requisitos mínimos de seguridad.
    • Artículo 12. Organización e implantación del proceso de seguridad.
    • Artículo 13. Análisis y gestión de los riesgos.
    • Artículo 14. Gestión de personal.
    • Artículo 15. Profesionalidad.
    • Artículo 16. Autorización y control de los accesos.
    • Artículo 17. Protección de las instalaciones.
    • Artículo 18. Adquisición de productos de seguridad.
    • Artículo 19. Seguridad por defecto.
    • Artículo 20. Integridad y actualización del sistema.
    • Artículo 21. Protección de información almacenada y en tránsito.
    • Artículo 22. Prevención ante otros sistemas de información interconectados.
    • Artículo 23. Registro de actividad.
    • Artículo 24. Incidentes de seguridad.
    • Artículo 25. Continuidad de la actividad.
    • Artículo 26. Mejora continua del proceso de seguridad.
    • Artículo 27. Cumplimiento de requisitos mínimos.
    • Artículo 28. Infraestructuras y servicios comunes.
    • Artículo 29. Instrucciones técnicas de seguridad y guías de seguridad.
    • Artículo 30. Sistemas de información no afectados.
  • CAPÍTULO IV Comunicaciones electrónicas
    • Artículo 31. Condiciones técnicas de seguridad de las comunicaciones electrónicas.
    • Artículo 32. Requerimientos técnicos de notificaciones y publicaciones electrónicas.
    • Artículo 33. Firma electrónica.
  • CAPÍTULO V Auditoría de la seguridad
    • Artículo 34. Auditoría de la seguridad.
  • CAPITULO VI Estado de seguridad de los sistemas
    • Artículo 35. Informe del estado de la seguridad.
  • CAPÍTULO VII Respuesta a incidentes de seguridad
    • Artículo 36. Capacidad de respuesta a incidentes de seguridad de la información.
    • Artículo 37. Prestación de servicios de respuesta a incidentes de seguridad a las Administraciones públicas.
  • CAPÍTULO VIII Normas de conformidad
    • Artículo 38. Sedes y registros electrónicos.
    • Artículo 39. Ciclo de vida de servicios y sistemas.
    • Artículo 40. Mecanismos de control.
    • Artículo 41. Publicación de conformidad.
  • CAPÍTULO IX Actualización
    • Artículo 42. Actualización permanente.
  • CAPÍTULO X Categorización de los sistemas de información
    • Artículo 43. Categorías.
    • Artículo 44. Facultades.
  • Disposición adicional primera. Formación.
  • Disposición adicional segunda. Comité de Seguridad de la Información de las Administraciones Públicas.
  • Disposición adicional tercera. Modificación del Reglamento de desarrollo de la Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de di...
  • Disposición adicional cuarta. Desarrollo del Esquema Nacional de Seguridad.
  • Disposición transitoria. Adecuación de sistemas.
  • Disposición derogatoria única.
  • Disposición final primera. Título habilitante.
  • Disposición final segunda. Desarrollo normativo.
  • Disposición final tercera. Entrada en vigor.
  • ANEXO I Categorías de los sistemas
    • 1. Fundamentos para la determinación de la categoría de un sistema
    • 2. Dimensiones de la seguridad
    • 3. Determinación del nivel requerido en una dimensión de seguridad
    • 4. Determinación de la categoría de un sistema de información
    • 5. Secuencia de actuaciones para determinar la categoría de un sistema
  • ANEXO II Medidas de seguridad
    • 1 Disposiciones generales
    • 2 Selección de medidas de seguridad
    • 3 Marco organizativo [org]
      • 3.1 Política de seguridad [org.1]
      • 3.2 Normativa de seguridad [org.2]
      • 3.3 Procedimientos de seguridad [org.3]
      • 3.4 Proceso de autorización [org.4]
    • 4 Marco operacional [op]
      • 4.1 Planificación [op.pl]
        • 4.1.1 Análisis de riesgos [op.pl.1]
        • 4.1.2 Arquitectura de seguridad [op.pl.2]
        • 4.1.3 Adquisición de nuevos componentes [op.pl.3]
        • 4.1.4 Dimensionamiento / gestión de capacidades [op.pl.4]
        • 4.1.5 Componentes certificados [op.pl.5]
      • 4.2 Control de acceso [op.acc]
        • 4.2.1 Identificación [op.acc.1]
        • 4.2.2 Requisitos de acceso [op.acc.2]
        • 4.2.3 Segregación de funciones y tareas [op.acc.3]
        • 4.2.4 Proceso de gestión de derechos de acceso [op.acc.4]
        • 4.2.5 Mecanismo de autenticación [op.acc.5]
        • 4.2.6 Acceso local [op.acc.6]
        • 4.2.7 Acceso remoto [op.acc.7]
      • 4.3 Explotación [op.exp]
        • 4.3.1 Inventario de activos [op.exp.1]
        • 4.3.2 Configuración de seguridad [op.exp.2]
        • 4.3.3 Gestión de la configuración [op.exp.3]
        • 4.3.4 Mantenimiento [op.exp.4]
        • 4.3.5 Gestión de cambios [op.exp.5]
        • 4.3.6 Protección frente a código dañino [op.exp.6]
        • 4.3.7 Gestión de incidentes [op.exp.7]
        • 4.3.8 Registro de la actividad de los usuarios [op.exp.8]
        • 4.3.9 Registro de la gestión de incidentes [op.exp.9]
        • 4.3.10 Protección de los registros de actividad [op.exp.10]
        • 4.3.11 Protección de claves criptográficas [op.exp.11]
      • 4.4 Servicios externos [op.ext]
        • 4.4.1 Contratación y acuerdos de nivel de servicio [op.ext.1]
        • 4.4.2 Gestión diaria [op.ext.2]
        • 4.4.3 Medios alternativos [op.ext.9]
      • 4.5 Continuidad del servicio [op.cont]
        • 4.5.1 Análisis de impacto [op.cont.1]
        • 4.5.2 Plan de continuidad [op.cont.2]
        • 4.5.3 Pruebas periódicas [op.cont.3]
      • 4.6 Monitorización del sistema [op.mon]
        • 4.6.1 Detección de intrusión [op.mon.1]
        • 4.6.2 Sistema de métricas [op.mon.2]
    • 5 Medidas de protección [mp]
      • 5.1 Protección de las instalaciones e infraestructuras [mp.if]
        • 5.1.1 Áreas separadas y con control de acceso [mp.if.1]
        • 5.1.2 Identificación de las personas [mp.if.2]
        • 5.1.3 Acondicionamiento de los locales [mp.if.3]
        • 5.1.4 Energía eléctrica [mp.if.4]
        • 5.1.5 Protección frente a incendios [mp.if.5]
        • 5.1.6 Protección frente a inundaciones [mp.if.6]
        • 5.1.7 Registro de entrada y salida de equipamiento [mp.if.7]
        • 5.1.8 Instalaciones alternativas [mp.if.9]
      • 5.2 Gestión del personal [mp.per]
        • 5.2.1 Caracterización del puesto de trabajo [mp.per.1]
        • 5.2.2 Deberes y obligaciones [mp.per.2]
        • 5.2.3 Concienciación [mp.per.3]
        • 5.2.4 Formación [mp.per.4]
        • 5.2.5 Personal alternativo [mp.per.9]
      • 5.3 Protección de los equipos [mp.eq]
        • 5.3.1 Puesto de trabajo despejado [mp.eq.1]
        • 5.3.2 Bloqueo de puesto de trabajo [mp.eq.2]
        • 5.3.3 Protección de portátiles [mp.eq.3]
        • 5.3.4 Medios alternativos [mp.eq.9]
      • 5.4 Protección de las comunicaciones [mp.com]
        • 5.4.1 Perímetro seguro [mp.com.1]
        • 5.4.2 Protección de la confidencialidad [mp.com.2]
        • 5.4.3 Protección de la autenticidad y de la integridad [mp.com.3]
        • 5.4.4 Segregación de redes [mp.com.4]
        • 5.4.5 Medios alternativos [mp.com.9]
      • 5.5 Protección de los soportes de información [mp.si]
        • 5.5.1 Etiquetado [mp.si.1]
        • 5.5.2 Criptografía.[mp.si.2]
        • 5.5.3 Custodia [mp.si.3]
        • 5.5.4 Transporte [mp.si.4]
        • 5.5.5 Borrado y destrucción [mp.si.5]
      • 5.6 Protección de las aplicaciones informáticas [mp.sw]
        • 5.6.1 Desarrollo de aplicaciones [mp.sw.1]
        • 5.6.2 Aceptación y puesta en servicio [mp.sw.2]
      • 5.7 Protección de la información [mp.info]
        • 5.7.1 Datos de carácter personal [mp.info.1]
        • 5.7.2 Calificación de la información [mp.info.2]
        • 5.7.3 Cifrado de la información [mp.info.3]
        • 5.7.4 Firma electrónica [mp.info.4]
        • 5.7.5 Sellos de tiempo [mp.info.5]
        • 5.7.6 Limpieza de documentos [mp.info.6]
        • 5.7.7 Copias de seguridad (backup) [mp.info.9]
      • 5.8 Protección de los servicios [mp.s]
        • 5.8.1 Protección del correo electrónico (e-mail) [mp.s.1]
        • 5.8.2 Protección de servicios y aplicaciones web [mp.s.2]
        • 5.8.3 Protección frente a la denegación de servicio [mp.s.8]
        • 5.8.4 Medios alternativos [mp.s.9]
    • 6. Desarrollo y complemento de las medidas de seguridad
    • 7. Interpretación
  • ANEXO III AUDITORÍA DE LA SEGURIDAD
    • 1. Objeto de la auditoría.
    • 2. Niveles de auditoría.
    • 3. Interpretación.
  • ANEXO IV GLOSARIO
    • Acrónimos
  • ANEXO V MODELO DE CLÁUSULA ADMINISTRATIVA PARTICULAR
  • Disposición transitoria única. Adecuación de sistemas.
  • Disposición final única. Entrada en vigor.