El CCN-CERT, del Centre Criptològic Nacional (CCN), ha publicat al seu portal la Guia CCN-STIC 808
de verificació del compliment de l'Esquema Nacional de Seguretat, enquadrada dins dels requisits de l'article 31 (Auditoria de la seguretat) i de l'annex III (Auditoria de la Seguretat) del nou Reial decret 311/2022 , del 3 de maig.
El principal objectiu d'aquesta guia és servir d'itinerari d'auditoria per a l'avaluació de la conformació amb l'ENS dels sistemes d'informació concernits, aplicable a qualsevol entitat que hagi de complir amb els preceptes de l'Esquema Nacional de Seguretat amb independència de la seva naturalesa, dimensió i categoria dels seus sistemes.
Així mateix, és aplicable a qualsevol categoria de seguretat (BÀSICA, MITJANA o ALTA) per part de:
- Entitats de Certificació (acreditades o en procés d'acreditació) per adaptar les seves llistes de comprovació o checklists d'auditoria.
- Responsables de realitzar auditories internes periòdiques com a element fonamental de millora contínua de la seguretat del sistema d'informació i del sistema de gestió aplicat sobre el mateix.
Aquesta guia pretén ser una ajuda per al treball de camp dels auditors, podent ser adaptada i empleada directament com checklist, sense perjudici d'emprar un assistent d'autoavaluació/certificació que es materialitzi en una solució automatitzada.
El CCN-CERT recorda, a més, que la solució EMPARO permet l'automatització del procés de verificació i facilita la gestió dels diferents sistemes auditats de forma alineada amb aquesta guia.
