accesskey_mod_content

Publicada la Guía CCN-STIC 802 de auditoría del Esquema Nacional de Seguridad

  • Escoitar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

30 maio 2017

Guíaa CCN-STIC recolle todos os aspectos a ter en conta á hora de desenvolver e executar unha auditoría do ENS, incluída a definición do alcance, obxecto, requisitos para o equipo auditor e o modelo de acordo de confidencialidade.

O CCN-CERT publicou en  o seu portal web(Abre en nova xanela)  guíaa  Guía CCN-STIC 802 de Auditoría do Esquema Nacional de Seguridade (ENS)(Abre en nova xanela)  cuyo objetivo es encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución, tal y como marca el artículo 34 del  Real Decreto 3/2010 do 8 de xaneiro(Abre en nova xanela) , polo que se regula o ENS.

O CCN lembra que o citado artigo 34 sinala que os sistemas de información aos que se refire o real decreto serán obxecto dunha auditoría regular ordinaria, polo menos cada dous anos, que verifique o cumprimento dos requirimentos do presente Esquema Nacional de Seguridade.

Os sistemas de información de categoría Alta ou Media, incluídos aqueles de empresas do sector privado que presten servizos ás entidades públicas, están obrigados á realización dunha auditoría regular, polo menos cada dous anos e unha de carácter extraordinario sempre que se produzan modificacións substanciais no sistema de información.

Con carácter extraordinario, deberá realizarse dita auditoría sempre que se produzan modificacións substanciais no sistema de información, que poidan repercutir nas medidas de seguridade requiridas.

Guía de auditoría

Guíaa CCN-STIC 802 recolle entre outros apartados, un dedicado ao marco de referencia e co obxecto da auditoría que, tal e como sinala o documento, debe ser “o emitir unha opinión independente e obxectiva, baseada nos principios de integridade, presentación imparcial, debido coidado profesional, confidencialidade, independencia e enfoque baseado na evidencia, sobre este cumprimento de tal forma que permita aos responsables correspondentes, tomar as medidas oportunas para emendar as deficiencias identificadas, se as houbese”.

 La definición del alcance, del equipo auditor, la planificación de la auditoría y sus evidencias, la elaboración y presentación de los hallazgos, así como la presentación del informe y el dictamen final son otros de los puntos del documento. Junto a ellos, seis anexos con los requisitos para el auditor, la incorporación de expertos técnicos, el modelo de acuerdo de confidencialidad, un glosario y bibliografía de referencia. 

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade
  • Interoperabilidade