O CCN-CERT, do Centro Criptolóxico Nacional (CCN), publicou no seu portal guíaa CCN-STIC 808
de verificación do cumprimento do Esquema Nacional de Seguridade, encadrada dentro dos requisitos do artigo 31 (Auditoría da seguridade) e do anexo III (Auditoría da Seguridade) do novo Real Decreto 311/2022 , do 3 de maio.
O principal obxectivo desta guía é servir de itinerario de auditoría para a avaliación da conformación co ENS dos sistemas de información concernidos, aplicable a calquera entidade que deba cumprir cos preceptos do Esquema Nacional de Seguridade con independencia da súa natureza, dimensión e categoría dos seus sistemas.
Así mesmo, é aplicable a calquera categoría de seguridade (BÁSICA, MEDIA ou ALTA) por parte de:
- Entidades de Certificación (acreditadas ou en proceso de acreditación) para adaptar as súas listas de comprobación ou checklists de auditoría.
- Responsables de realizar auditorías internas periódicas como elemento fundamental de mellora continua da seguridade do sistema de información e do sistema de xestión aplicado sobre o mesmo.
Esta guía pretende ser unha axuda para o traballo de campo dos auditores, podendo ser adaptada e empregada directamente como checklist, sen prexuízo de empregar un asistente de autoevaluación/certificación que se materialice nunha solución automatizada.
O CCN-CERT lembra, ademais, que a solución AMPARO permite a automatización do proceso de verificación e facilita a xestión dos diferentes sistemas auditados de forma aliñada con esta guía.
