O CCN-CERT, do Centro Criptolóxico Nacional (CCN), actualizou guíaa CCN-CERT IC-01/19 ENS: Criterios Xerais de Auditoría e Certificación , especialmente dirixido ás Entidades de Certificación do Esquema Nacional de Seguridade (acreditadas pola Entidade Nacional de Acreditación, ENAC, ou aquelas recoñecidas polo CCN).
Este informe atópase comprendido dentro daqueles elaborados polo Consello de Certificación do ENS (CoCENS) e pretende servir como referencia establecendo os criterios xerais para a Auditoría e Certificación dos sistemas de información.
As Entidades de Certificación do ENS actuarán sempre coa maior profesionalidade e rigor, atendendo ás cautelas e recomendacións recollidas nos epígrafes do documento en cuestión, destacando algúns dos seus puntos principais:
- Epígrafe 3.2 En relación coa competencia técnica da Entidade de Certificación. Debe ter unha experiencia demostrable de, polo menos, tres (3) anos.
- Epígrafe 3.5 En relación coa obrigatoriedade do uso de Guíalas CCN-STIC, considerándose como “Mejores Prácticas”.
- Epígrafe 3.6 En relación co tempo de auditoría, determinando os tempos necesarios para realizar as Auditorías de Conformidade co ENS nas súas diferentes fases: estudo documental previo, auditoría en modo remoto/in situ e redacción do Informe de Auditoría.
- Epígrafe 3.8 Resumo dos achados de auditoría. A solución AMPARO, solución posta a disposición polo CCN-CERT, permite a provisión dos datos para favorecer a automatización e eficiencia do proceso de auditoría.
- Epígrafe 3.9 Auditorías de certificación realizadas en modo remoto. La necesidad de contar con nuevos procedimientos debe contar con las garantías necesarias exigidas por el ENS sin que puedan sufrir ninguna merma.
- Epígrafe 3.13 En relación co período de validez das Certificacións de Conformidade co ENS en situacións excepcionais. A vixencia das Acreditacións e dos Certificados de conformidade virá determinada pola duración da citada situación excepcional tendo en conta que, unha vez deuse por finalizada, concederase un novo período equivalente coa mesma duración que o anterior, para facilitar o restablecemento paulatino das relacións entre as Entidades de Certificación e os seus clientes. Por tanto, a vixencia dos certificados afectados incrementarase nun tempo análogo ao que durase a situación excepcional, o que será comunicado formalmente polo CCN.
- Epígrafe 3.15 En relación con tránsito dunha Certificación de Conformidade de categoría MEDIA a unha de categoría ALTA. Poderá ser posible se ocorren determinadas circunstancias determinadas no informe.
Guía CCN-STIC CCN-CERT IC-01/19: “ENS: Criterios Xerais de Auditoría e Certificación”