¿Qué exige este criterio?
El análisis de riesgos ENS debe: (1) usar metodología reconocida (MAGERIT v3 o ISO 27005); (2) identificar activos del servicio, amenazas, vulnerabilidades e impacto; (3) ser específico del servicio cualificado (no el corporativo diluido); (4) generar un plan de tratamiento de riesgos; (5) actualizarse al menos anualmente. Para ENS ALTA, la metodología debe ser formal y documentada, no un análisis informal.

¿Qué hay que revisar al cliente?

• Metodología usada y documentación del proceso.
• Alcance del análisis: ¿específico del servicio QERDS?
• Activos, amenazas, vulnerabilidades e impactos identificados.
• Plan de tratamiento de riesgos derivado.
• Fecha de la última revisión y periodicidad.

Preguntas clave para las entrevistas

• ¿El análisis de riesgos ENS está diferenciado del análisis corporativo general?
• ¿Qué metodología se usa (MAGERIT, ISO 27005)?
• ¿Cuándo fue la última actualización?
• ¿El análisis está integrado o es coherente con el de EN 319 401?

¿Por qué es esencial para QERDS y TSA?
El análisis de riesgos ENS es la base del resto del sistema. Para categoría ALTA, el nivel de rigurosidad es máximo: activos clasificados, amenazas cuantificadas, impacto estimado. El auditor ENS pedirá el análisis como primera evidencia.

Evidencia que demostraría conformidad

• Análisis de riesgos ENS del servicio QERDS (metodología, activos, amenazas).
• Plan de tratamiento de riesgos.
• Fecha de última actualización.