accesskey_mod_content

Actualització dels Criteris Generals d'Auditoria i Certificació de l'ENS

  • Escoltar
  • Imprimir PDF
  • Compartir

"Notícia disponible únicament amb finalitats històriques i d'hemeroteca. La informació i enllaços mostrats es corresponen amb els quals estaven operatius a la data de la seva publicació. No es garanteix que continuïn actius actualment".

13 juliol 2022

El document serveix com a referència per establir els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació dins de l'àmbit d'aplicació de l'Esquema Nacional de Seguretat

El CCN-CERT, del Centre Criptològic Nacional (CCN), ha actualitzat la Guia CCN-CERT IC-01/19 ENS: Criteris Generals d'Auditoria i Certificació(Obre en nova finestra) , especialment dirigit a les Entitats de Certificació de l'Esquema Nacional de Seguretat (acreditades per l'Entitat Nacional d'Acreditació, ENAC, o aquelles reconegudes pel CCN).

Aquest informe es troba comprès dins d'aquells elaborats pel Consell de Certificació de l'ENS(Obre en nova finestra) (CoCENS) i pretén servir com a referència establint els criteris generals per a l'Auditoria i Certificació dels sistemes d'informació.

Les Entitats de Certificació de l'ENS(Obre en nova finestra) actuaran sempre amb la major professionalitat i rigor, atenent a les cauteles i recomanacions recollides en els epígrafs del document en qüestió, destacant alguns dels seus punts principals:

  • Epígraf 3.2 En relació amb la competència tècnica de l'Entitat de Certificació. Ha de tenir una experiència demostrable de, almenys, tres (3) anys.
  • Epígraf 3.5 En relació amb l'obligatorietat de l'ús de les Guies CCN-STIC, considerant-se com “Mejores Prácticas”.
  • Epígraf 3.6 En relació amb el temps d'auditoria, determinant els temps necessaris per realitzar les Auditorías de Conformitat amb l'ENS en les seves diferents fases: estudi documental previ, auditoria en manera remota/in situ i redacció de l'Informe d'Auditoria.
  • Epígraf 3.8 Resum de les troballes d'auditoria. La solució EMPARO, solució posada a disposició pel CCN-CERT, permet la provisió de les dades per afavorir l'automatització i eficiència del procés d'auditoria.
  • Epígraf 3.9 Auditories de certificació realitzades en manera remota. La necessitat de comptar amb nous procediments ha de comptar amb les garanties necessàries exigides per l'ENS sense que puguin sofrir cap minvament.
  • Epígraf 3.13 En relació amb el període de validesa de les Certificacions de Conformitat amb l'ENS en situacions excepcionals. La vigència de les Acreditacions i dels Certificats de conformitat vindrà determinada per la durada de la citada situació excepcional tenint en compte que, una vegada s'hagi donat per finalitzada, es concedirà un nou període equivalent amb la mateixa durada que l'anterior, per facilitar el restabliment gradual de les relacions entre les Entitats de Certificació i els seus clients. Per tant, la vigència dels certificats afectats s'incrementarà en un temps anàleg al que hagi durat la situació excepcional, la qual cosa serà comunicat formalment pel CCN.
  • Epígraf 3.15 En relació amb trànsit d'una Certificació de Conformitat de categoria MITJANA a una de categoria ALTA. Podrà ser possible si ocorren determinades circumstàncies determinades en l'informe.

Guia CCN-STIC CCN-CERT IC-01/19: “ENS: Criteris Generals d'Auditoria i Certificació”(Obre en nova finestra)

Guia CCN-STIC CCN-CERT IC-02/20: “Guia per a la contractació d'auditories de certificació de l'Esquema Nacional de Seguretat (ENS)”(Obre en nova finestra)

Font original de la notícia(Obre en nova finestra)

  • Seguretat i Protecció de Dades
  • Serveis electrònics