El Centro Criptológico Nacional ha hecho publica la Guía CCN-STIC 120 . Procedimiento de acreditación de entidades auditoras para verificar requisitos STIC en Sistemas de Difusión Limitada, El presente documento tiene por objeto definir el procedimiento utilizado por el CCN para la acreditación de la capacidad técnica de entidades auditoras para la verificación del cumplimiento de requisitos de seguridad de las TIC (STIC) dentro del proceso de acreditación de sistemas que manejen información clasificada hasta el grado de DIFUSIÓN LIMITADA o equivalente.
Así, las entidades acreditadas por el CCN darían cumplimiento a lo indicado en la Guía CCN-STIC-101 “Acreditación de sistemas de las TIC que manejan información clasificada” la cual indica que los sistemas a acreditar para manejar información clasificada con el grado de DIFUSIÓN LIMITADA o equivalente deberán seguir un procedimiento específico, pudiendo ser escogidas por la AOSTIC para la realización de una auditoría/inspección STIC.
La Guía recoge un epígrafe de Responsabilidades y otro de Procedimientos de acreditación incluyendo en éste el proceso de solicitud de la acreditación, revisión de las condiciones de acreditación, requisitos de las entidades auditoras, concesión de la acreditación, responsabilidades de la entidad auditora acreditada, publicidad de las acreditaciones y vigencia de la acreditación. Asimismo, se incluye un glosario de términos y un anexo de revisión de requisitos para entidades auditoras.