Guíaa CCN-STIC 808 vén complementar a guíaa “CCN-STIC-802 Esquema Nacional de Seguridade – Guía de auditoría” e ten como obxecto “o servir tanto de itinerario, como de rexistro, a aquela persoa designada como auditor dos requisitos do Esquema Nacional de Seguridade para un sistema”.
Os sistemas de información de categoría Alta ou Media, incluídos aqueles de empresas do sector privado que presten servizos ás entidades públicas, están obrigados á realización dunha auditoría regular, polo menos cada dous anos e unha de carácter extraordinario sempre que se produzan modificacións substanciais no sistema de información.
O CCN-CERT publicou no seu portal web guíaa Guía CCN-STIC 808 de verificación do Esquema Nacional de Seguridade (ENS) cuxo obxectivo é servir tanto de itinerario, como de rexistro, a aquela persoa designada como auditor dos requisitos do ENS. Deste xeito, poderase canalizar dunha forma homoxénea a realización das auditorías, ordinarias ou extraordinarias, establecendo unhas premisas mínimas na súa execución, tal e como marca o artigo 34 do Real Decreto 3/2010 do 8 de xaneiro, polo que se regula o ENS.
O citado artigo 34 sinala que os sistemas de información aos que se refire o real decreto serán obxecto dunha auditoría regular ordinaria, polo menos cada dous anos, que verifique o cumprimento dos requirimentos do presente Esquema Nacional de Seguridade.
Con carácter extraordinario, deberá realizarse dita auditoría sempre que se produzan modificacións substanciais no sistema de información, que poidan repercutir nas medidas de seguridade requiridas.