El CCN-CERT, del Centre Criptològic Nacional (CCN), ha publicat en el seu portal la Guia CCN-STIC 808 de verificació del compliment de l'Esquema Nacional de Seguretat, enquadrada dins dels requisits de l'article 31 (Auditoria de la seguretat) i de l'annex III (Auditoria de la Seguretat) del nou Reial decret 311/2022 , del 3 de maig.
El principal objectiu d'esta guia és servir d'itinerari d'auditoria per a l'avaluació de la conformació amb l'ENS dels sistemes d'informació concernits, aplicable a qualsevol entitat que haja de complir amb els preceptes de l'Esquema Nacional de Seguretat amb independència de la seua naturalesa, dimensió i categoria dels seus sistemes.
Així mateix, és aplicable a qualsevol categoria de seguretat (BÀSICA, MITJANA o ALTA) per part de:
- Entitats de Certificació (acreditades o en procés d'acreditació) per a adaptar les seues llistes de comprovació o checklists d'auditoria.
- Responsables de realitzar auditories internes periòdiques com a element fonamental de millora contínua de la seguretat del sistema d'informació i del sistema de gestió aplicat sobre el mateix.
Esta guia pretén ser una ajuda per al treball de camp dels auditors, podent ser adaptada i empleada directament com checklist, sense perjuí d'emprar un assistent d'autoavaluació/certificació que es materialitze en una solució automatitzada.
El CCN-CERT recorda, a més, que la solució EMPARE permet l'automatització del procés de verificació i facilita la gestió dels diferents sistemes auditats de forma alineada amb esta guia.