O CCN-CERT publicou en o seu portal web guíaa Guía CCN-STIC 802 de Auditoría do Esquema Nacional de Seguridade (ENS) cuyo objetivo es encauzar de una forma homogénea la realización de las auditorías, ordinarias o extraordinarias, estableciendo unas premisas mínimas en su ejecución, tal y como marca el artículo 34 del Real Decreto 3/2010 do 8 de xaneiro , polo que se regula o ENS.
O CCN lembra que o citado artigo 34 sinala que os sistemas de información aos que se refire o real decreto serán obxecto dunha auditoría regular ordinaria, polo menos cada dous anos, que verifique o cumprimento dos requirimentos do presente Esquema Nacional de Seguridade.
Os sistemas de información de categoría Alta ou Media, incluídos aqueles de empresas do sector privado que presten servizos ás entidades públicas, están obrigados á realización dunha auditoría regular, polo menos cada dous anos e unha de carácter extraordinario sempre que se produzan modificacións substanciais no sistema de información.
Con carácter extraordinario, deberá realizarse dita auditoría sempre que se produzan modificacións substanciais no sistema de información, que poidan repercutir nas medidas de seguridade requiridas.