Egokitze-prozesua
ENSekiko Ziurtapenak eta Adostasunak aldez aurretik Egokitze Plan bat egitea dakar, honako aurretiko lau fase hauek barne hartzen dituena: Segurtasun Politika, Sistemen Kategorizazioa, Arriskuen Analisia eta Aplikagarritasunaren Adierazpena/Betetze-profila.
1. Egokitzapen-plana
Honako informazio hau duen dokumentua da: SENen ziurtapen-prozesuaren mende jarriko diren sistemen irismena, horien kategoria, II. eranskineko zer neurri ezarriko diren (Aplikagarritasun-aitorpena) , zer arrisku hartzen diren bere gain, erakundearen Segurtasun-politika bere segurtasun-antolaketarekin...
Egokitzapen Planari eraginkortasunez ekiteko, urrats hauek egin behar dira:
- Sistemaren irismena identifikatzea
- Sistema emandako zerbitzuen segurtasun-dimentsioen arabera kategorizatzea.
- Aplikagarritasunaren behin-behineko adierazpena lortzea.
- Arriskuen analisia egitea.
- Behin betiko aplikagarritasun-adierazpena edo betetze-profil espezifikoa baliozkotzea.
- Segurtasun-politika prestatzea eta onartzea.
2. Segurtasuna ezartzea
Egokitzapen-plana egin ondoren, segurtasuna ezartzeko fasera pasatuko da. Fase honek urrats hauek ditu:
- Ibilbide-orria: egin beharreko dokumentuak, ezarri beharreko neurri teknikoak eta lehentasunak zehaztea.
- Segurtasunaren arau-esparrua eta ezarpena prestatzea.
- Informazioaren Segurtasuna Kudeatzeko Sistema onartzea.
3. Adostasun-adierazpena/-ziurtagiria
SENen aplikazio-eremuko informazio-sistemen adostasunaren zehaztapena bi prozeduraren arabera zehaztuko da, kategoria ERTAINA eta ALTUA edo OINARRIZKOA den kontuan hartuta:
- Kategoria ERTAINA edo ALTUA: Informazio-sistemak kategoria horiekin bat datozela egiaztatzeko, ikuskapen formal bat egingo da, SENen jasotako errekerimenduak egiaztatzeko, gutxienez bi urtean behin, edo ohiz kanpo, aldaketa esanguratsuak gertatzen badira.
- OINARRIZKO kategoria: kategoria honetako informazio-sistemak bat etortzeko, autoebaluazio bat egin behar da, sistema horiek betetzen direla egiaztatzeko, gutxienez bi urtean behin, edo, ohiz kanpo, aldaketa esanguratsuak gertatzen badira. Adostasunerako baldintza horrek ez du eragozten OINARRIZKO kategoriako sistema bati auditoretza formala egitea.
4. Segurtasun-egoerari buruzko informazioa ematea. Metrikak eta adierazleak
SEN aplikatzen zaien erakundeek nahitaez bete eta jakinarazi behar dute Segurtasun Egoera. Agindu hori betetzeko, CCNk INES (Segurtasun Estatuaren Txosten Nazionala) proiektua garatu du:
5. Zaintza eta etengabeko hobekuntza
Informazioaren segurtasunaren kudeaketak etengabeko aldaketak izan ditzakeen prozesua da, erakundean, mehatxuetan, teknologietan eta/edo legerian aldaketak eragin ditzakeena, eta, horregatik, beharrezkoa da gure sistemak etengabe hobetzea.
Etengabeko eguneratze horrek honako ekintza hauek ekarriko ditu, besteak beste:
- Informazioaren Segurtasun Politika berrikustea
- Informazioa eta zerbitzuak berrikustea eta kategorizatzea
- Arriskuen analisia eguneratzea, gutxienez urtean behin
- Aplikagarritasun-deklarazioa edo betetze-profila berrikustea
- Barne-auditoriak egitea
- Hobekuntza Plana berrikustea
- Segurtasun-neurriak berrikustea
- Prozedurak berrikustea eta eguneratzea
- Segurtasun Egoera Berrikustea (INÉS)
6. Toki Erakundeentzako Egokitzapen Prozesuak
Udalerrien eta Probintzien Espainiako Federazioak (FEMP), Kriptologia Zentro Nazionalaren laguntzarekin, Gomendioen Liburua argitaratu du: Segurtasun Eskema Nazionalera (SEN) egokitzeko ibilbidea. Bertan, tokiko erakundeak SENera egokitzeko ibilbide-orri pertsonalizatua definitzeko jarraitu beharreko jarraibideak, betekizunak eta urratsak deskribatzen dira.
7. Produktu kualifikatuen katalogoa
Produktu egokiak dira SENen irismeneko sistemetan erabiltzeko, edozein kategoriatan (ALTUA, ERTAINA eta OINARRIZKOA). Produktu bat kategoria batean sailkatzeak aukera ematen du beheko kategorietan erabiltzeko.
