accesskey_mod_content

Publicada la Guía CCN-STIC 802 de auditoría del Esquema Nacional de Seguridad

  • Escuchar
  • Imprimir PDF
  • Compartir

"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".

30 mayo 2017

La Guía CCN-STIC recoge todos los aspectos a tener en cuenta a la hora de desarrollar y ejecutar una auditoría del ENS, incluida la definición del alcance, objeto, requisitos para el equipo auditor y el modelo de acuerdo de confidencialidad.

El CCN-CERT ha publicado en  su portal web(Abre en nueva ventana)  la  Guía CCN-STIC 802 de Auditoría del Esquema Nacional de Seguridad (ENS)(Abre en nueva ventana)  cuyo objetivo es encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución, tal y como marca el artículo 34 del  Real Decreto 3/2010 de 8 de enero(Abre en nueva ventana) , por el que se regula el ENS.

El CCN recuerda que el citado artículo 34 señala que los sistemas de información a los que se refiere el real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Los sistemas de información de categoría Alta o Media, incluidos aquellos de empresas del sector privado que presten servicios a las entidades públicas, están obligados a la realización de una auditoría regular, al menos cada dos años y una de carácter extraordinario siempre que se produzcan modificaciones sustanciales en el sistema de información.

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en el sistema de información, que puedan repercutir en las medidas de seguridad requeridas.

Guía de auditoría

La Guía CCN-STIC 802 recoge entre otros apartados, uno dedicado al marco de referencia y al objeto de la auditoría que, tal y como señala el documento, debe ser “el emitir una opinión independiente y objetiva, basada en los principios de integridad, presentación imparcial, debido cuidado profesional, confidencialidad, independencia y enfoque basado en la evidencia, sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera”.

 La definición del alcance, del equipo auditor, la planificación de la auditoría y sus evidencias, la elaboración y presentación de los hallazgos, así como la presentación del informe y el dictamen final son otros de los puntos del documento. Junto a ellos, seis anexos con los requisitos para el auditor, la incorporación de expertos técnicos, el modelo de acuerdo de confidencialidad, un glosario y bibliografía de referencia. 

Fuente original de la noticia(Abre en nueva ventana)

  • Seguridad y Protección de Datos
  • Interoperabilidad y Normalización