Organisme de Certificació

L'adquisició d'un producte de seguretat TIC que va a manejar informació nacional classificada o informació sensible ha d'estar precedida d'un procés de comprovació que els mecanismes de seguretat implementats en el producte són adequats per protegir aquesta informació.

L'avaluació i certificació d'un producte de seguretat TIC és l'únic mitjà objectiu que permet valorar i acreditar la capacitat d'un producte per manejar informació de forma segura. A Espanya, aquesta responsabilitat està assignada al Centro Criptològic Nacional (CCN) a través del RD 421/2004 de 12 de març.

Aquest Organisme de Certificació (OC), quant a la certificació funcional de la seguretat de les TU, s'articula mitjançant el Reglament d'Avaluació i Certificació de la Seguretat de les Tecnologies de la Informació, aprovat per Ordre PRE/2740/2007, de 19 de setembre, completat per la seva pròpia normativa interna adaptada als requisits necessaris per ser reconegut tant a nivell nacional, segons la norma UNE-EN ISO/IEC 17065, com a nivell internacional, d'acord amb el «Arranjament de Reconeixement de Certificats de Criteris Comuns» (CCRA), com a entitat de certificació de la seguretat de les TIC.

Per a la certificació criptològica i per a la certificació TEMPEST, l'Organisme de Certificació es basa en criteris i metodologies pròpies.

Anualment es realitza una auditoria interna i una auditoria externa al OC. L'auditoria interna la realitza personal del CNI (no pertanyent al CCN), per comprovar que l'activitat de certificació s'efectua d'acord a les normes i procediments establerts en cada cas.

L'auditoria externa la realitza l'Entitat Nacional d'Acreditació (ENAC), segons la corresponent norma ISO, i és necessària perquè el OC mantingui l'acreditació com a entitat de certificació de producte.