El CCN-CERT, del Centro Criptológico Nacional (CCN), ha publicado en su portal la Guía CCN-STIC 808
de verificación del cumplimiento del Esquema Nacional de Seguridad, encuadrada dentro de los requisitos del artículo 31 (Auditoría de la seguridad) y del anexo III (Auditoría de la Seguridad) del nuevo Real Decreto 311/2022 , del 3 de mayo.
El principal objetivo de esta guía es servir de itinerario de auditoría para la evaluación de la conformación con el ENS de los sistemas de información concernidos, aplicable a cualquier entidad que deba cumplir con los preceptos del Esquema Nacional de Seguridad con independencia de su naturaleza, dimensión y categoría de sus sistemas.
Asimismo, es aplicable a cualquier categoría de seguridad (BÁSICA, MEDIA o ALTA) por parte de:
- Entidades de Certificación (acreditadas o en proceso de acreditación) para adaptar sus listas de comprobación o checklists de auditoría.
- Responsables de realizar auditorías internas periódicas como elemento fundamental de mejora continua de la seguridad del sistema de información y del sistema de gestión aplicado sobre el mismo.
Esta guía pretende ser una ayuda para el trabajo de campo de los auditores, pudiendo ser adaptada y empleada directamente como checklist, sin perjuicio de emplear un asistente de autoevaluación/certificación que se materialice en una solución automatizada.
El CCN-CERT recuerda, además, que la solución AMPARO permite la automatización del proceso de verificación y facilita la gestión de los diferentes sistemas auditados de forma alineada con esta guía.
