A Instrución Técnica de Seguridade de Auditoría da Seguridade establece las condiciones para la realización de las auditorías, ordinarias o extraordinarias, previstas en el artículo 34 del Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración Electrónica (ENS)
Las auditorías deben realizarse con el fin de determinar el grado de conformidad con el ENS y debe permitir a sus responsables adoptar las medidas oportunas para subsanar las deficiencias encontradas y, en su caso, posibilitar la obtención de la correspondiente Certificación de Conformidad.
Cabe recordar que para obtener esta Certificación, los sistemas de información de categoría MEDIA o ALTA precisarán superar una Auditoría de Seguridad, al menos cada dos años. Asimismo, los informes de auditoría emitidos podrán ser requeridos por el CCN-CERT ante calquera agresión recibida nos sistemas de información das Administracións Públicas (artigo 37 do ENS).
Para o desenvolvemento das auditorías, a Resolución agora publicada sinala que deberán realizarse conforme á propia ITS e, cando corresponda, ás normas nacionais e internacionais sobre auditorías, entre elas Guíalas CCN-STIC 802 Guía de Auditoría , CCN-STIC 804 Guía de Implantación
e CCN-STIC 808 Verificación do cumprimento das medidas no ENS
.
En esta ITS, tras el objeto y el ámbito de aplicación, se tratan cuestiones tales como el propósito de la auditoría de la seguridad, obligatoriedad y normativa reguladora; la definición del alcance y objetivo de la auditoría de la seguridad; la ejecución de la auditoría de la seguridad; el informe de auditoría; las entidades Auditoras del Sector Público; y en una disposición adicional, cuestiones relativas a datos personales.
O ENS prevé, no seu artigo 29, apartado 2, as instrucións técnicas de seguridade como elementos esenciais para lograr unha adecuada, homoxénea e coherente implantación dos requisitos e medidas recollidos no mesmo. Ditas instrucións técnicas de seguridade regulan aspectos concretos que a realidade cotiá ha mostrado especialmente significativos, tales como: Informe do Estado da Seguridade; Notificación de Incidentes de Seguridade; Auditoría da Seguridade; Conformidade co Esquema Nacional de Seguridade; Adquisición de Produtos de Seguridade; Criptología de emprego no Esquema Nacional de Seguridade; Interconexión no Esquema Nacional de Seguridade e Requisitos de Seguridade en contornas externalizados.