La Guia CCN-STIC 808 vé a complementar a la guia “CCN-STIC-802 Esquema Nacional de Seguretat – Guia d'auditoria” i té com a objecte “el servir tant d'itinerari, com de registre, a aquella persona designada com a auditor dels requisits de l'Esquema Nacional de Seguretat per a un sistema”.
Els sistemes d'informació de categoria Alta o Mitjana, inclosos aquells d'empreses del sector privat que presten servicis a les entitats públiques, estan obligats a la realització d'una auditoria regular, almenys cada dos anys i una de caràcter extraordinari sempre que es produïsquen modificacions substancials en el sistema d'informació.
El CCN-CERT ha publicat en el seu portal web la Guia CCN-STIC 808 de verificació de l'Esquema Nacional de Seguretat (ENS)
cuyo objetivo es servir tanto de itinerario, como de registro, a aquella persona designada como auditor de los requisitos del ENS. De este modo, se podrá encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución, tal y como marca el artículo 34 del Real Decreto 3/2010 de 8 de enero, por el que se regula el ENS.
El citat article 34 assenyala que els sistemes d'informació als quals es referix el reial decret seran objecte d'una auditoria regular ordinària, almenys cada dos anys, que verifique el compliment dels requeriments del present Esquema Nacional de Seguretat.
Amb caràcter extraordinari, haurà de realitzar-se aquesta auditoria sempre que es produïsquen modificacions substancials en el sistema d'informació, que puguen repercutir en les mesures de seguretat requerides.
