La Instrucció Tècnica de Seguretat d'Auditoria de la Seguretat estableix les condicions per a la realització de les auditories, ordinàries o extraordinàries, previstes en l'article 34 del Reial decret 3/2010, de 8 de gener, pel qual es regula l'Esquema Nacional de Seguretat en l'àmbit de l'Administració Electrònica (ENS)
Les auditories han de realitzar-se amb la finalitat de determinar el grau de conformitat amb l'ENS i ha de permetre als seus responsables adoptar les mesures oportunes per esmenar les deficiències oposades i, si escau, possibilitar l'obtenció de la corresponent Certificació de Conformitat.
cal recordar que per obtenir aquesta Certificació, els sistemes d'informació de categoria MITJANA o ALTA precisaran superar una Auditoria de Seguretat, almenys cada dos anys. Així mateix, els informes d'auditoria emesos podran ser requerits pel CCN-CERT davant qualsevol agressió rebuda en els sistemes d'informació de les Administracions Públiques (article 37 de l'ENS).
Para el desarrollo de las auditorías, la Resolución ahora publicada señala que deberán realizarse conforme a la propia ITS y, cuando corresponda, a las normas nacionales e internacionales sobre auditorías, entre ellas las Guías CCN-STIC 802 Guia d'Auditoria , CCN-STIC 804 Guia d'Implantació i CCN-STIC 808 Verificació del compliment de les mesures en l'ENS .
En aquesta ITS, després de l'objecte i l'àmbit d'aplicació, es tracten qüestions tals com el propòsit de l'auditoria de la seguretat, obligatorietat i normativa reguladora; la definició de l'abast i objectiu de l'auditoria de la seguretat; l'execució de l'auditoria de la seguretat; l'informe d'auditoria; les entitats Auditores del Sector Públic; i en una disposició addicional, qüestions relatives a dades personals.
L'ENS preveges, en el seu article 29, apartat 2, les instruccions tècniques de seguretat como elementos esenciales para lograr una adecuada, homogénea y coherente implantación de los requisitos y medidas recogidos en el mismo. Dichas instrucciones técnicas de seguridad regulan aspectos concretos que la realidad cotidiana ha mostrado especialmente significativos, tales como: Informe del Estado de la Seguridad; Notificación de Incidentes de Seguridad; Auditoría de la Seguridad; Conformidad con el Esquema Nacional de Seguridad; Adquisición de Productos de Seguridad; Criptología de empleo en el Esquema Nacional de Seguridad; Interconexión en el Esquema Nacional de Seguridad y Requisitos de Seguridad en entornos externalizados.