O CCN-CERT, do Centro Criptolóxico Nacional (CCN), actualizou guíaa CCN-CERT IC-01/19 ENS: Criterios Xerais de Auditoría e Certificación , especialmente dirixido ás Entidades de Certificación do Esquema Nacional de Seguridade (acreditadas pola Entidade Nacional de Acreditación, ENAC, ou aquelas recoñecidas polo CCN).
Este informe atópase comprendido dentro daqueles elaborados polo Consello de Certificación do ENS (CoCENS) y pretende servir como referencia estableciendo los criterios generales para la Auditoría y Certificación de los sistemas de información.
As Entidades de Certificación do ENS actuarán siempre con la mayor profesionalidad y rigor, atendiendo a las cautelas y recomendaciones recogidas en los epígrafes del documento en cuestión, destacando algunos de sus puntos principales:
- Epígrafe 3.2 En relación con la competencia técnica de la Entidad de Certificación. Debe tener una experiencia demostrable de, al menos, tres (3) años.
- Epígrafe 3.5 En relación coa obrigatoriedade do uso de Guíalas CCN-STIC, considerándose como “Mejores Prácticas”.
- Epígrafe 3.6 En relación co tempo de auditoría, determinando os tempos necesarios para realizar as Auditorías de Conformidade co ENS nas súas diferentes fases: estudo documental previo, auditoría en modo remoto/in situ e redacción do Informe de Auditoría.
- Epígrafe 3.8 Resumo dos achados de auditoría. A solución AMPARO, solución posta a disposición polo CCN-CERT, permite a provisión dos datos para favorecer a automatización e eficiencia do proceso de auditoría.
- Epígrafe 3.9 Auditorías de certificación realizadas en modo remoto. A necesidade de contar con novos procedementos debe contar coas garantías necesarias esixidas polo ENS sen que poidan sufrir ningunha diminución.
- Epígrafe 3.13 En relación co período de validez das Certificacións de Conformidade co ENS en situacións excepcionais. A vixencia das Acreditacións e dos Certificados de conformidade virá determinada pola duración da citada situación excepcional tendo en conta que, unha vez deuse por finalizada, concederase un novo período equivalente coa mesma duración que o anterior, para facilitar o restablecemento paulatino das relacións entre as Entidades de Certificación e os seus clientes. Por tanto, a vixencia dos certificados afectados incrementarase nun tempo análogo ao que durase a situación excepcional, o que será comunicado formalmente polo CCN.
- Epígrafe 3.15 En relación con tránsito dunha Certificación de Conformidade de categoría MEDIA a unha de categoría ALTA. Poderá ser posible se ocorren determinadas circunstancias determinadas no informe.
Guía CCN-STIC CCN-CERT IC-01/19: “ENS: Criterios Xerais de Auditoría e Certificación”