CCN-CERT, Soluciones de Ciber Seguridad

Auditories de Seguretat

L'Auditoria de la seguretat és un procés sistemàtic, independent i documentat, per a l'obtenció d'evidències i la seva avaluació objectiva, amb la finalitat de determinar el grau de conformitat amb la política de seguretat del sistema d'informació auditat i les necessitats de millora i correcció d'est.

En la realització d'aquesta auditoria s'utilitzaran els criteris i mètodes de treball i de conducta generalment reconeguts, així com les recomanacions i normes nacionals i internacionals aplicables a aquest tipus d'auditories de sistemes d'informació. En particular, la instrucció tècnica de seguir doneu d'Auditoria de la Seguretat dels sistemes d'informació estableix les condicions per a la realització de la preceptiva auditoria a la qual han de sotmetre's els sistemes d'informació de l'àmbit d'aplicació del ENS, tal com es regula en l'article 34 i Annex III de la seva norma reguladora.

Les troballes derivades de les inspeccions de seguretat es classifiquen en funció de:

  • Inspecció de compliment (Nivell 1 i 2).
    • No Conformitat Menor
    • No Conformitat Major
    • Observació
  • Inspecció tècnica (Nivell 3, 4 i 5). S'estableixen els següents resultats possibles de criticitat.
    • Baix
    • Medi
    • Alt
    • Crític

El dictamen final d'una auditoria serà un dels tres següents:

  • Favorable
  • Favorable amb NO conformitats (Pla d'Accions Correctives)
  • Desfavorable