Misure di sicurezza di alto livello dell'Esquema Nacional de Seguridad (ENS) spagnoloSpain Esquema Nacional de Seguridad (ENS) High-Level Security Measures

Informazioni generali sull'ENS spagnoloSpain ENS overview

Nel 2007 il governo spagnolo ha promulgato la Legge 11/2007, un quadro normativo per concedere ai cittadini l'accesso elettronico ai servizi governativi e pubblici.In 2007, the Spanish government enacted Law 11/2007, which established a legal framework to give citizens electronic access to government and public services. Questa legge è la base dell'Esquema Nacional de Seguridad regolamentato dal Decreto Reale (RD) 3/2010.This law is the basis for Esquema Nacional de Seguridad (National Security Framework), which is governed by Royal Decree (RD) 3/2010. L'obiettivo del quadro normativo consiste nel consolidare la fiducia nella fornitura di servizi elettronici e assicurare l'accesso, l'integrità, la disponibilità, l'autenticità, la riservatezza, la tracciabilità e la conservazione di dati, informazioni e servizi.The goal of the framework is to build trust in the provision of electronic services, and ensure the access, integrity, availability, authenticity, confidentiality, traceability, and preservation of data, information, and services.

Si applica a tutte le agenzie governative ed enti pubblici spagnoli che acquistano servizi cloud, nonché ai fornitori di tecnologie ICT (Information and Communications Technologies).The framework applies to all public organizations and government agencies in Spain that purchase cloud services, as well as to providers of information and communications technologies (ICT). Assiste le agenzie e gli enti nell'implementare controlli efficaci per la sicurezza nel cloud e in locale, nel rispetto degli standard di privacy e sicurezza spagnoli e europei.It guides these agencies and companies in implementing effective controls for security in the cloud and on premises, in compliance with Spanish and EU security and privacy standards.

Il quadro normativo stabilisce criteri chiave e requisiti obbligatori che le agenzie governative e i relativi provider di servizi devono adottare.The framework establishes core policies and mandatory requirements that both government agencies and their service providers must meet. Definisce un insieme di controlli di sicurezza specifici, molti dei quali allineati direttamente allo standard ISO/IEC 27001, relativamente a disponibilità, autenticità, integrità, riservatezza e tracciabilità.It defines a set of specific security controls — (many of which align directly with ISO/IEC 27001) — relating to availability, authenticity, integrity, confidentiality, and traceability. Il livello di riservatezza delle informazioni basso, intermedio o alto, determina le misure di sicurezza che devono essere adottate per proteggerle.The sensitivity of the information — low, intermediate, or high — determines the security measures that must be applied to protect it.

Rispetto alla sicurezza, ogni agenzia governativa deve adottare un approccio basato sulla gestione dei rischi con cui identificare e valutare i rischi, quindi applicare i controlli di sicurezza appropriati.Each government agency is required to adopt a risk-management approach to security, whereby they identify and assess risks, and then apply security controls appropriate to those risks. Anche i provider di servizi devono adeguarsi ai rigorosi requisiti del quadro normativo per assicurarsi che le procedure, le competenze tecniche e le operazioni siano sicure e permettere alle agenzie di adeguarsi alle normative.Service providers, too, must comply with the stringent framework requirements to help ensure that their procedures, technical capacities, and operations are secure and enable agencies to comply with the regulations.

Il quadro normativo prevede un processo di accreditamento facoltativo per i sistemi che gestiscono le informazioni con un livello di riservatezza basso, ma obbligatorio per quelli che gestiscono le informazioni con un livello medio o alto di riservatezza.The framework prescribes an accreditation process that is voluntary for systems handling information of low sensitivity, but mandatory for systems handling information at an intermediate or high level of sensitivity. Il controllo viene eseguito da un revisore indipendente accreditato.An audit is performed by an accredited independent auditor. Il report viene quindi riesaminato durante un processo di certificazione prima dell'accettazione dei controlli di gestione dei rischi nella fase finale dell'accreditamento.The report is then reviewed in a process of certification before risk-management controls are accepted in the final step of accreditation.

Microsoft e le misure di sicurezza di alto livello dell'ENS spagnoloMicrosoft and Spain ENS high-level security measures

Microsoft Azure e Microsoft Office 365 sono stati sottoposti a una valutazione rigorosa da parte di BDO, un revisore indipendente, che ha rilasciato una dichiarazione di adeguamento ufficiale.Microsoft Azure and Microsoft Office 365 have gone through a rigorous assessment by BDO, an independent auditor, which issued an official statement of their compliance. BDO dichiara che le misure di sicurezza di entrambi i servizi e le rispettive informazioni di sistema e le strutture di elaborazione dati, sono conformi al RD 3/2010 senza bisogno di alcuna misura correttiva.BDO reports that the security measures in both services, and their information systems and data processing facilities, comply at the high level with RD 3/2010 without requiring any corrective measures. Microsoft è stato il primo provider di servizi cloud iperscalabile a ottenere questa certificazione in Spagna.Microsoft was the first hyperscale cloud service provider to receive this certification in Spain.

Servizi cloud Microsoft inclusiMicrosoft in-scope cloud services

Controlli, report e certificatiAudits, reports, and certificates

La certificazione è valida due anni, con l'obbligo di un controllo di sorveglianza annuale.The certification is valid for two years, with an annual surveillance audit.

AzureAzure

Office 365Office 365

Domande frequentiFrequently asked questions

Come posso ottenere copie dei report di controllo e delle certificazioni?How can I get copies of the audit reports and certifications?

Il Service Trust Portal rende disponibili i report di controllo e le certificazioni in inglese e spagnolo.The Service Trust Portal provides the audit reports and certifications in both Spanish and English. I revisori possono usarli per confrontare i risultati dei servizi cloud Microsoft con i requisiti normativi e legali che ti riguardano.Your auditors can use them to compare Microsoft cloud services results with your own legal and regulatory requirements.

Qual è la fase iniziale del percorso di adeguamento della mia organizzazione?Where do I start with my organization’s own compliance effort?

Se la tua organizzazione usa Azure o Office 365, puoi usare l'accreditamento e il report di controllo ENS di Microsoft ai fini del tuo processo di accreditamento.If your organization is using Azure or Office 365, you can use ENS Microsoft audit reports and accreditation as part of your own accreditation process. Hai tuttavia la responsabilità di affidare l'incarico a un revisore affinché valuti la tua implementazione in termini di conformità e di garantire che i controlli e i processi all'interno dell'organizzazione siano in linea con il quadro normativo.However, you are responsible for engaging an auditor to evaluate your implementation for compliance, and for ensuring that the controls and processes within your own organization align with the framework.

RisorseResources