accesskey_mod_content

Actualización dos Criterios Xerais de Auditoría e Certificación do ENS

  • Escoitar
  • Imprimir PDF
  • Compartir

"Noticia dispoñible unicamente con fins históricos e de hemeroteca. A información e ligazóns mostradas correspóndense cos que estaban operativos á data da súa publicación. Non se garante que continúen activos actualmente".

13 xullo 2022

O documento serve como referencia para establecer os criterios xerais para a Auditoría e Certificación dos sistemas de información dentro do ámbito de aplicación do Esquema Nacional de Seguridade

O CCN-CERT, do Centro Criptolóxico Nacional (CCN), actualizou guíaa CCN-CERT IC-01/19 ENS: Criterios Xerais de Auditoría e Certificación(Abre en nova xanela) , especialmente dirixido ás Entidades de Certificación do Esquema Nacional de Seguridade (acreditadas pola Entidade Nacional de Acreditación, ENAC, ou aquelas recoñecidas polo CCN).

Este informe atópase comprendido dentro daqueles elaborados polo Consello de Certificación do ENS(Abre en nova xanela) (CoCENS) y pretende servir como referencia estableciendo los criterios generales para la Auditoría y Certificación de los sistemas de información.

As Entidades de Certificación do ENS(Abre en nova xanela) actuarán sempre coa maior profesionalidade e rigor, atendendo ás cautelas e recomendacións recollidas nos epígrafes do documento en cuestión, destacando algúns dos seus puntos principais:

  • Epígrafe 3.2 En relación coa competencia técnica da Entidade de Certificación. Debe ter unha experiencia demostrable de, polo menos, tres (3) anos.
  • Epígrafe 3.5 En relación con la obligatoriedad del uso de las Guías CCN-STIC, considerándose como “Mejores Prácticas”.
  • Epígrafe 3.6 En relación co tempo de auditoría, determinando os tempos necesarios para realizar as Auditorías de Conformidade co ENS nas súas diferentes fases: estudo documental previo, auditoría en modo remoto/in situ e redacción do Informe de Auditoría.
  • Epígrafe 3.8 Resumo dos achados de auditoría. A solución AMPARO, solución posta a disposición polo CCN-CERT, permite a provisión dos datos para favorecer a automatización e eficiencia do proceso de auditoría.
  • Epígrafe 3.9 Auditorías de certificación realizadas en modo remoto. A necesidade de contar con novos procedementos debe contar coas garantías necesarias esixidas polo ENS sen que poidan sufrir ningunha diminución.
  • Epígrafe 3.13 En relación co período de validez das Certificacións de Conformidade co ENS en situacións excepcionais. A vixencia das Acreditacións e dos Certificados de conformidade virá determinada pola duración da citada situación excepcional tendo en conta que, unha vez deuse por finalizada, concederase un novo período equivalente coa mesma duración que o anterior, para facilitar o restablecemento paulatino das relacións entre as Entidades de Certificación e os seus clientes. Por tanto, a vixencia dos certificados afectados incrementarase nun tempo análogo ao que durase a situación excepcional, o que será comunicado formalmente polo CCN.
  • Epígrafe 3.15 En relación con tránsito dunha Certificación de Conformidade de categoría MEDIA a unha de categoría ALTA. Poderá ser posible se ocorren determinadas circunstancias determinadas no informe.

Guía CCN-STIC CCN-CERT IC-01/19: “ENS: Criterios Xerais de Auditoría e Certificación”(Abre en nova xanela)

Guía CCN-STIC CCN-CERT IC-02/20: “Guía para a contratación de auditorías de certificación do Esquema Nacional de Seguridade (ENS)”(Abre en nova xanela)

Fonte orixinal da noticia(Abre en nova xanela)

  • Seguridade e Protección de Datos
  • Servizos electrónicos