|
Fecha de publicación: 11/07/2022
- Disponible la última versión del informe CCN-CERT IC-01/19 en la parte pública del portal.
- El documento sirve como referencia para establecer los criterios generales para la Auditoría y Certificación de los sistemas de información dentro del ámbito de aplicación del Esquema Nacional de Seguridad.
- El Consejo de Certificación del Esquema Nacional de Seguridad (CoCENS) ha redactado este escrito con la colaboración y el consenso de todos sus miembros.
El CCN-CERT, del Centro Criptológico Nacional (CCN), ha actualizado la Guía CCN-CERT IC-01/19 ENS: Criterios Generales de Auditoría y Certificación, especialmente dirigido a las Entidades de Certificación del Esquema Nacional de Seguridad (acreditadas por la Entidad Nacional de Acreditación, ENAC, o aquellas reconocidas por el CCN).
Este informe se encuentra comprendido dentro de aquellos elaborados por el Consejo de Certificación del ENS (CoCENS) y pretende servir como referencia estableciendo los criterios generales para la Auditoría y Certificación de los sistemas de información.
Las Entidades de Certificación del ENS actuarán siempre con la mayor profesionalidad y rigor, atendiendo a las cautelas y recomendaciones recogidas en los epígrafes del documento en cuestión, destacando algunos de sus puntos principales:
- Epígrafe 3.2 En relación con la competencia técnica de la Entidad de Certificación. Debe tener una experiencia demostrable de, al menos, tres (3) años.
- Epígrafe 3.5 En relación con la obligatoriedad del uso de las Guías CCN-STIC, considerándose como “Mejores Prácticas”.
- Epígrafe 3.6 En relación con el tiempo de auditoría, determinando los tiempos necesarios para realizar las Auditorías de Conformidad con el ENS en sus diferentes fases: estudio documental previo, auditoría en modo remoto/in situ y redacción del Informe de Auditoría.
- Epígrafe 3.8 Resumen de los hallazgos de auditoría. La solución AMPARO, solución puesta a disposición por el CCN-CERT, permite la provisión de los datos para favorecer la automatización y eficiencia del proceso de auditoría.
- Epígrafe 3.9 Auditorías de certificación realizadas en modo remoto. La necesidad de contar con nuevos procedimientos debe contar con las garantías necesarias exigidas por el ENS sin que puedan sufrir ninguna merma.
- Epígrafe 3.13 En relación con el período de validez de las Certificaciones de Conformidad con el ENS en situaciones excepcionales. La vigencia de las Acreditaciones y de los Certificados de conformidad vendrá determinada por la duración de la citada situación excepcional teniendo en cuenta que, una vez se haya dado por finalizada, se concederá un nuevo período equivalente con la misma duración que el anterior, para facilitar el restablecimiento paulatino de las relaciones entre las Entidades de Certificación y sus clientes. Por tanto, la vigencia de los certificados afectados se incrementará en un tiempo análogo al que haya durado la situación excepcional, lo que será comunicado formalmente por el CCN.
- Epígrafe 3.15 En relación con tránsito de una Certificación de Conformidad de categoría MEDIA a una de categoría ALTA. Podrá ser posible si ocurren determinadas circunstancias determinadas en el informe.
Más información:
Atentamente,
Equipo CCN-CERT
|
