Auditorías de Seguridad
La Auditoría de la seguridad es un proceso sistemático, independiente y documentado, para la obtención de evidencias y su evaluación objetiva, con el fin de determinar el grado de conformidad con la política de seguridad del sistema de información auditado y las necesidades de mejora y corrección de este.
En la realización de esta auditoría se utilizarán los criterios y métodos de trabajo y de conducta generalmente reconocidos, así como las recomendaciones y normas nacionales e internacionales aplicables a este tipo de auditorías de sistemas de información. En particular, la instrucción técnica de seguirdad de Auditoría de la Seguridad de los sistemas de información establece las condiciones para la realización de la preceptiva auditoría a la que deben someterse los sistemas de información del ámbito de aplicación del ENS, tal y como se regula en el artículo 34 y Anexo III de su norma reguladora.
Los hallazgos derivados de las inspecciones de seguridad se clasificarán en función de:
- Inspección de cumplimiento (Nivel 1 y 2).
- No Conformidad Menor
- No Conformidad Mayor
- Observación
- Inspección técnica (Nivel 3, 4 y 5). Se establecen los siguientes resultados posibles de criticidad.
- Bajo
- Medio
- Alto
- Crítico
El dictamen final de una auditoría será uno de los tres siguientes:
- Favorable
- Favorable con NO conformidades (Plan de Acciones Correctivas)
- Desfavorable