ETSI-EN-319-401

REQ-401-5-RA1

§5 Risk Assessment
NC Alta
Texto del requisito

El TSP debe realizar y documentar una evaluación de riesgos sobre los servicios que presta, considerando activos, amenazas, vulnerabilidades, probabilidad e impacto.

¿Qué pide este criterio y por qué?

¿Qué exige este criterio?
Un análisis de riesgos formal del servicio cualificado, con metodología trazable (ISO/IEC 27005, MAGERIT u otra reconocida), que identifique los activos del servicio (HSM, claves, evidencias, sistemas), las amenazas aplicables, las vulnerabilidades existentes, y la probabilidad e impacto estimados para cada combinación. El alcance debe coincidir con el del servicio cualificado, no diluirse en un análisis corporativo genérico.

¿Qué hay que revisar al cliente?

  • Documento del análisis de riesgos: existencia, alcance declarado y fecha de última revisión.
  • Metodología empleada y su justificación (preferiblemente reconocida internacionalmente).
  • Inventario de activos del servicio (físicos, lógicos, información, intangibles).
  • Catálogo de amenazas considerado y si incluye amenazas específicas TSP (compromiso de clave, suplantación, repudio, indisponibilidad de TSA).
  • Tabla de riesgos con valoración cuantitativa o cualitativa y niveles de aceptación.
  • Plan de tratamiento de riesgos vinculado y su trazabilidad con los controles del SGSI.
  • Aprobación documentada por la dirección competente.

Preguntas clave para las entrevistas

  • ¿Cuándo se hizo el último análisis de riesgos específico de los servicios de confianza?
  • ¿Qué metodología utilizan y por qué se eligió?
  • ¿Quién es el propietario de cada riesgo y quién aprueba la aceptación de riesgos residuales?
  • ¿Cómo trazan los riesgos identificados con los controles implantados?
  • ¿Se ha contemplado el escenario de compromiso de la clave del prestador?

¿Por qué es esencial para QERDS y TSA?
El análisis de riesgos es la base sobre la que el auditor CAR evalúa la proporcionalidad de los controles del servicio. Sin él no es posible justificar que las medidas son adecuadas, y la auditoría de cualificación se detendría aquí. Para QERDS es crítico abordar riesgos de no-entrega/repudio; para TSA, los de desincronización y compromiso de clave de la TSU.

Evidencia que demostraría conformidad

  • Documento de análisis de riesgos firmado, con fecha y versión.
  • Metodología documentada (referencia normativa).
  • Inventario de activos del servicio.
  • Acta de aprobación del análisis y del plan de tratamiento por dirección.
  • Trazabilidad riesgo → control → procedimiento.
Evidencia esperada

Análisis de riesgos del servicio + metodología documentada + actas de revisión + plan de tratamiento aprobado.

Volver
Evidencias vinculadas 0

Aún no hay evidencias vinculadas.

Subir nueva evidencia
Por defecto, la evidencia se analiza con Claude (Anthropic) para emitir un dictamen consultivo de cobertura del control. El dictamen es orientativo: el CAB sigue siendo la autoridad sobre la conformidad real.
Aplicabilidad
Aplica
Información del requisito
Última actualización
2026-05-03 18:31
Marco
ETSI EN 319 401 – General Policy Requirements for TSP
Versión
v2.3.1 (2021-05)
Referencia bibliográfica
ETSI EN 319 401 V2.3.1 (2021-05). Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers. European Telecommunications Standards Institute. https://www.etsi.org/deliver/etsi_en/319400_319499/319401/