Guíaa CCN-STIC 808 vén complementar a guíaa “CCN-STIC-802 Esquema Nacional de Seguridade – Guía de auditoría” e ten como obxecto “o servir tanto de itinerario, como de rexistro, a aquela persoa designada como auditor dos requisitos do Esquema Nacional de Seguridade para un sistema”.
Os sistemas de información de categoría Alta ou Media, incluídos aqueles de empresas do sector privado que presten servizos ás entidades públicas, están obrigados á realización dunha auditoría regular, polo menos cada dous anos e unha de carácter extraordinario sempre que se produzan modificacións substanciais no sistema de información.
O CCN-CERT publicou no seu portal web guíaa Guía CCN-STIC 808 de verificación do Esquema Nacional de Seguridade (ENS)
cuxo obxectivo é servir tanto de itinerario, como de rexistro, a aquela persoa designada como auditor dos requisitos do ENS. Deste xeito, poderase canalizar dunha forma homoxénea a realización das auditorías, ordinarias ou extraordinarias, establecendo unhas premisas mínimas na súa execución, tal e como marca o artigo 34 do Real Decreto 3/2010 do 8 de xaneiro, polo que se regula o ENS.
El citado artículo 34 señala que los sistemas de información a los que se refiere el real decreto serán objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.
Con carácter extraordinario, deberá realizarse dita auditoría sempre que se produzan modificacións substanciais no sistema de información, que poidan repercutir nas medidas de seguridade requiridas.
