accesskey_mod_content

Publicada la Guia CCN-STIC 802 d'auditoria de l'Esquema Nacional de Seguretat

  • Escoltar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

30 maig 2017

La Guia CCN-STIC recull tots els aspectes a tenir en compte a l'hora de desenvolupar i executar una auditoria de l'ENS, inclosa la definició de l'abast, objecte, requisits per a l'equip auditor i el model d'acord de confidencialitat.

El CCN-CERT ha publicat a  el seu portal web(Obre en nova finestra)  la  Guia CCN-STIC 802 d'Auditoria de l'Esquema Nacional de Seguretat (ENS)(Obre en nova finestra)  que el seu objectiu és canalitzar d'una forma homogènia la realització de les auditories, ordinàries o extraordinàries, establint unes premisses mínimes en la seva execució, tal com marca l'article 34 de el  Reial decret 3/2010 de 8 de gener(Obre en nova finestra) , pel qual es regula l'ENS.

El CCN recorda que el citat article 34 assenyala que els sistemes d'informació als quals es refereix el reial decret seran objecte d'una auditoria regular ordinària, almenys cada dos anys, que verifiqui el compliment dels requeriments del present Esquema Nacional de Seguretat.

Els sistemes d'informació de categoria Alta o Mitjana, inclosos aquells d'empreses del sector privat que prestin serveis a les entitats públiques, estan obligats a la realització d'una auditoria regular, almenys cada dos anys i una de caràcter extraordinari sempre que es produeixin modificacions substancials en el sistema d'informació.

Amb caràcter extraordinari, haurà de realitzar-se aquesta auditoria sempre que es produeixin modificacions substancials en el sistema d'informació, que puguin repercutir en les mesures de seguretat requerides.

Guia d'auditoria

La Guía CCN-STIC 802 recoge entre otros apartados, uno dedicado al marco de referencia y al objeto de la auditoría que, tal y como señala el documento, debe ser “el emitir una opinión independiente y objetiva, basada en los principios de integridad, presentación imparcial, debido cuidado profesional, confidencialidad, independencia y enfoque basado en la evidencia, sobre este cumplimiento de tal forma que permita a los responsables correspondientes, tomar las medidas oportunas para subsanar las deficiencias identificadas, si las hubiera”.

 La definició de l'abast, de l'equipo auditor, la planificació de l'auditoria i les seves evidències, l'elaboració i presentació de les troballes, així com la presentació de l'informe i el dictamen final són uns altres dels punts del document. Al costat d'ells, sis annexos amb els requisits per a l'auditor, la incorporació d'experts tècnics, el model d'acord de confidencialitat, un glossari i bibliografia de referència. 

Font original de la notícia(Obre en nova finestra)

  • Seguretat
  • Interoperabilitat