accesskey_mod_content

Actualización de los Criterios Generales de Auditoría y Certificación del ENS

  • Escuchar
  • Imprimir PDF
  • Compartir

"Noticia disponible únicamente con fines históricos y de hemeroteca. La información y enlaces mostrados se corresponden con los que estaban operativos a la fecha de su publicación. No se garantiza que continúen activos actualmente".

13 julio 2022

El documento sirve como referencia para establecer los criterios generales para la Auditoría y Certificación de los sistemas de información dentro del ámbito de aplicación del Esquema Nacional de Seguridad

El CCN-CERT, del Centro Criptológico Nacional (CCN), ha actualizado la Guía CCN-CERT IC-01/19 ENS: Criterios Generales de Auditoría y Certificación(Abre en nueva ventana) , especialmente dirigido a las Entidades de Certificación del Esquema Nacional de Seguridad (acreditadas por la Entidad Nacional de Acreditación, ENAC, o aquellas reconocidas por el CCN).

Este informe se encuentra comprendido dentro de aquellos elaborados por el Consejo de Certificación del ENS(Abre en nueva ventana) (CoCENS) y pretende servir como referencia estableciendo los criterios generales para la Auditoría y Certificación de los sistemas de información.

Las Entidades de Certificación del ENS(Abre en nueva ventana) actuarán siempre con la mayor profesionalidad y rigor, atendiendo a las cautelas y recomendaciones recogidas en los epígrafes del documento en cuestión, destacando algunos de sus puntos principales:

  • Epígrafe 3.2 En relación con la competencia técnica de la Entidad de Certificación. Debe tener una experiencia demostrable de, al menos, tres (3) años.
  • Epígrafe 3.5 En relación con la obligatoriedad del uso de las Guías CCN-STIC, considerándose como “Mejores Prácticas”.
  • Epígrafe 3.6 En relación con el tiempo de auditoría, determinando los tiempos necesarios para realizar las Auditorías de Conformidad con el ENS en sus diferentes fases: estudio documental previo, auditoría en modo remoto/in situ y redacción del Informe de Auditoría.
  • Epígrafe 3.8 Resumen de los hallazgos de auditoría. La solución AMPARO, solución puesta a disposición por el CCN-CERT, permite la provisión de los datos para favorecer la automatización y eficiencia del proceso de auditoría.
  • Epígrafe 3.9 Auditorías de certificación realizadas en modo remoto. La necesidad de contar con nuevos procedimientos debe contar con las garantías necesarias exigidas por el ENS sin que puedan sufrir ninguna merma.
  • Epígrafe 3.13 En relación con el período de validez de las Certificaciones de Conformidad con el ENS en situaciones excepcionales. La vigencia de las Acreditaciones y de los Certificados de conformidad vendrá determinada por la duración de la citada situación excepcional teniendo en cuenta que, una vez se haya dado por finalizada, se concederá un nuevo período equivalente con la misma duración que el anterior, para facilitar el restablecimiento paulatino de las relaciones entre las Entidades de Certificación y sus clientes. Por tanto, la vigencia de los certificados afectados se incrementará en un tiempo análogo al que haya durado la situación excepcional, lo que será comunicado formalmente por el CCN.
  • Epígrafe 3.15 En relación con tránsito de una Certificación de Conformidad de categoría MEDIA a una de categoría ALTA. Podrá ser posible si ocurren determinadas circunstancias determinadas en el informe.

Guía CCN-STIC CCN-CERT IC-01/19: “ENS: Criterios Generales de Auditoría y Certificación”(Abre en nueva ventana)

Guía CCN-STIC CCN-CERT IC-02/20: “Guía para la contratación de auditorías de certificación del Esquema Nacional de Seguridad (ENS)”(Abre en nueva ventana)

Fuente original de la noticia(Abre en nueva ventana)

  • Seguridad y Protección de Datos
  • Servicios electrónicos