El CCN-CERT, del Centre Criptològic Nacional (CCN), ha publicat en el seu portal la Guia CCN-STIC 808 de verificación del cumplimiento del Esquema Nacional de Seguridad, encuadrada dentro de los requisitos del artículo 31 (Auditoría de la seguridad) y del anexo III (Auditoría de la Seguridad) del nuevo Reial decret 311/2022 , del 3 de maig.
El principal objectiu d'esta guia és servir d'itinerari d'auditoria per a l'avaluació de la conformació amb l'ENS dels sistemes d'informació concernits, aplicable a qualsevol entitat que haja de complir amb els preceptes de l'Esquema Nacional de Seguretat amb independència de la seua naturalesa, dimensió i categoria dels seus sistemes.
Així mateix, és aplicable a qualsevol categoria de seguretat (BÀSICA, MITJANA o ALTA) per part de:
- Entidades de Certificación (acreditadas o en proceso de acreditación) para adaptar sus listas de comprobación o checklists de auditoría.
- Responsables de realizar auditorías internas periódicas como elemento fundamental de mejora continua de la seguridad del sistema de información y del sistema de gestión aplicado sobre el mismo.
Esta guia pretén ser una ajuda per al treball de camp dels auditors, podent ser adaptada i empleada directament com checklist, sense perjuí d'emprar un assistent d'autoavaluació/certificació que es materialitze en una solució automatitzada.
El CCN-CERT recorda, a més, que la solució EMPARE permet l'automatització del procés de verificació i facilita la gestió dels diferents sistemes auditats de forma alineada amb esta guia.