El CCN-CERT ha publicat a el seu portal web la Guia CCN-STIC 802 d'Auditoria de l'Esquema Nacional de Seguretat (ENS) que el seu objectiu és canalitzar d'una forma homogènia la realització de les auditories, ordinàries o extraordinàries, establint unes premisses mínimes en la seva execució, tal com marca l'article 34 de el Real Decreto 3/2010 de 8 de gener , pel qual es regula l'ENS.
El CCN recorda que el citat article 34 assenyala que els sistemes d'informació als quals es refereix el reial decret seran objecte d'una auditoria regular ordinària, almenys cada dos anys, que verifiqui el compliment dels requeriments del present Esquema Nacional de Seguretat.
Els sistemes d'informació de categoria Alta o Mitjana, inclosos aquells d'empreses del sector privat que prestin serveis a les entitats públiques, estan obligats a la realització d'una auditoria regular, almenys cada dos anys i una de caràcter extraordinari sempre que es produeixin modificacions substancials en el sistema d'informació.
Amb caràcter extraordinari, haurà de realitzar-se aquesta auditoria sempre que es produeixin modificacions substancials en el sistema d'informació, que puguin repercutir en les mesures de seguretat requerides.