Auditorías de Seguridade
A auditoría da seguridade é un proceso sistemático, independente e documentado, para a obtención de evidencias e a súa avaliación obxectiva, co fin de determinar o grao de conformidade coa política de seguridade do sistema de información auditado e as necesidades de mellora e corrección deste.
Na realización desta auditoría utilizaranse os criterios e métodos de traballo e de conduta xeralmente recoñecidos, así como as recomendacións e normas nacionais e internacionais aplicables a este tipo de auditorías de sistemas de información. En particular, a instrución técnica de seguridade da Auditoría da Seguridade dos sistemas de información establece as condicións para a realización da preceptiva auditoría á que deben someterse os sistemas de información do ámbito de aplicación do ENS, tal e como se regula no artigo 34 e Anexo III da súa norma reguladora.
Os achados derivados das auditorías de seguridade clasificaranse atendendo aos seguintes graos:
- Inspección de cumprimento (Nivel 1 e 2).
- Non Conformidade Menor
- Non Conformidade Maior
- Observación
- Inspección técnica (Nivel 3, 4 e 5). Considéranse os seguintes posíbeis resultados de criticidade.
- Baixo
- A metade
- Alta
- Crítico
O ditame final dunha auditoría será un dos tres seguintes
- Favorable
- Favorable con NON conformidades (Plan de Accións Correctivas)
- Desfavorable