El CCN-CERT, del Centro Criptológico Nacional (CCN), ha publicado en su portal la Guía CCN-STIC 808 de verificación do cumprimento do Esquema Nacional de Seguridade, encadrada dentro dos requisitos do artigo 31 (Auditoría da seguridade) e do anexo III (Auditoría da Seguridade) do novo Real Decreto 311/2022 , do 3 de maio.
O principal obxectivo desta guía é servir de itinerario de auditoría para a avaliación da conformación co ENS dos sistemas de información concernidos, aplicable a calquera entidade que deba cumprir cos preceptos do Esquema Nacional de Seguridade con independencia da súa natureza, dimensión e categoría dos seus sistemas.
Asimismo, es aplicable a cualquier categoría de seguridad (BÁSICA, MEDIA o ALTA) por parte de:
- Entidades de Certificación (acreditadas ou en proceso de acreditación) para adaptar as súas listas de comprobación ou checklists de auditoría.
- Responsables de realizar auditorías internas periódicas como elemento fundamental de mejora continua de la seguridad del sistema de información y del sistema de gestión aplicado sobre el mismo.
Esta guía pretende ser unha axuda para o traballo de campo dos auditores, podendo ser adaptada e empregada directamente como checklist, sen prexuízo de empregar un asistente de autoevaluación/certificación que se materialice nunha solución automatizada.
O CCN-CERT lembra, ademais, que a solución AMPARO permite a automatización do proceso de verificación e facilita a xestión dos diferentes sistemas auditados de forma aliñada con esta guía.