accesskey_mod_content

Publicada guíaa CCN-STIC 802 de auditoría do Esquema Nacional de Seguridade

  • Escoitar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

30 maio 2017

Guíaa CCN-STIC recolle todos os aspectos a ter en conta á hora de desenvolver e executar unha auditoría do ENS, incluída a definición do alcance, obxecto, requisitos para o equipo auditor e o modelo de acordo de confidencialidade.

O CCN-CERT publicou en  o seu portal web(Abre en nova xanela)  guíaa  Guía CCN-STIC 802 de Auditoría do Esquema Nacional de Seguridade (ENS)(Abre en nova xanela)  cuxo obxectivo é canalizar dunha forma homoxénea a realización das auditorías, ordinarias ou extraordinarias, establecendo unhas premisas mínimas na súa execución, tal e como marca o artigo 34 de o  Real Decreto 3/2010 do 8 de xaneiro(Abre en nova xanela) , polo que se regula o ENS.

O CCN lembra que o citado artigo 34 sinala que os sistemas de información aos que se refire o real decreto serán obxecto dunha auditoría regular ordinaria, polo menos cada dous anos, que verifique o cumprimento dos requirimentos do presente Esquema Nacional de Seguridade.

Os sistemas de información de categoría Alta ou Media, incluídos aqueles de empresas do sector privado que presten servizos ás entidades públicas, están obrigados á realización dunha auditoría regular, polo menos cada dous anos e unha de carácter extraordinario sempre que se produzan modificacións substanciais no sistema de información.

Con carácter extraordinario, deberá realizarse dita auditoría sempre que se produzan modificacións substanciais no sistema de información, que poidan repercutir nas medidas de seguridade requiridas.

Guía de auditoría

Guíaa CCN-STIC 802 recolle entre outros apartados, un dedicado ao marco de referencia e co obxecto da auditoría que, tal e como sinala o documento, debe ser “o emitir unha opinión independente e obxectiva, baseada nos principios de integridade, presentación imparcial, debido coidado profesional, confidencialidade, independencia e enfoque baseado na evidencia, sobre este cumprimento de tal forma que permita aos responsables correspondentes, tomar as medidas oportunas para emendar as deficiencias identificadas, se as houbese”.

 A definición do alcance, do equipo auditor, a planificación da auditoría e as súas evidencias, a elaboración e presentación dos achados, así como a presentación do informe e o ditame final son outros dos puntos do documento. Xunto a eles, seis anexos cos requisitos para o auditor, a incorporación de expertos técnicos, o modelo de acordo de confidencialidade, un glosario e bibliografía de referencia. 

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade e Protección de Datos
  • Interoperabilidade e Normalización