El CCN-CERT, del Centre Criptològic Nacional (CCN), ha publicat al seu portal la Guia CCN-STIC 808
de verificación del cumplimiento del Esquema Nacional de Seguridad, encuadrada dentro de los requisitos del artículo 31 (Auditoría de la seguridad) y del anexo III (Auditoría de la Seguridad) del nuevo Reial decret 311/2022 , del 3 de maig.
El principal objectiu d'aquesta guia és servir d'itinerari d'auditoria per a l'avaluació de la conformació amb l'ENS dels sistemes d'informació concernits, aplicable a qualsevol entitat que hagi de complir amb els preceptes de l'Esquema Nacional de Seguretat amb independència de la seva naturalesa, dimensió i categoria dels seus sistemes.
Així mateix, és aplicable a qualsevol categoria de seguretat (BÀSICA, MITJANA o ALTA) per part de:
- Entidades de Certificación (acreditadas o en proceso de acreditación) para adaptar sus listas de comprobación o checklists de auditoría.
- Responsables de realitzar auditories internes periòdiques com a element fonamental de millora contínua de la seguretat del sistema d'informació i del sistema de gestió aplicat sobre el mateix.
Aquesta guia pretén ser una ajuda per al treball de camp dels auditors, podent ser adaptada i empleada directament com checklist, sense perjudici d'emprar un assistent d'autoavaluació/certificació que es materialitzi en una solució automatitzada.
El CCN-CERT recorda, a més, que la solució EMPARO permite la automatización del proceso de verificación y facilita la gestión de los diferentes sistemas auditados de forma alineada con esta guía.
