¿AUDITORIA DE SEGURIDAD?¿Qué requisitos debe cumplir mi Sistema de Información para obtener LA CERTIFICACIÓN DE CONFORMIDAD con el ENS?
LARA FERNÁNDEZ DEL HOYO
Gestor Procesal y Administrativo en administracion de justicia
En primer lugar, debemos aclarar que la Auditoría de Seguridad se basa en la obtención de evidencias y su evaluación objetiva, la cual analizará con un Informe de Auditoría cuyo dictamen final determinará si el sistema de información es conforme al ENS.
De esta forma, el dictamen final puede ser:
- Favorable.
- Favorable con No Conformidades.
- Desfavorable.
La Certificación de Conformidad con el ENS únicamente podrá expedirse si el dictamen fuera «Favorable» o si habiendo sido «Favorable con No Conformidades» se presentare un Plan de Acciones Correctivas para resolver las no conformidades.
Ante un dictamen Desfavorable, la entidad titular del sistema de información deberá someterse a una Auditoría Extraordinaria en un plazo no superior a seis meses, el cual si tiene resultado satisfactorio permitirá la expedición del Certificado de Conformidad con el ENS.
((Para obtener la Certificación de Conformidad con el ENS, los sistemas de información de categorías MEDIA o ALTA deberán superar una Auditoría de Seguridad al menos cada dos años, mientras que los sistemas de información de categoría BÁSICA solo requerirán de una autoevaluación, que de resultado favorable, permitirá la exhibición de la Declaración de Conformidad))
En caso que el sistema auditado incluya tratamiento de datos personales se tendrá en cuenta lo dispuesto en la LOPD y a partir del 25 de mayo de 2018, en el Reglamento Europeo de Protección de Datos, debiendo a partir de dicha fecha, informar al Delegado de Protección de Datos de la supervisión del cumplimiento de dicha normativa.
Con fecha 3 de abril de 2018, ha sido publicada en el BOE, la Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.
De conformidad con lo dispuesto en el artículo 156 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector público y con el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (en adelante ENS), ha sido aprobada la instrucción técnica de seguridad que establece las condiciones para la realización de la preceptiva auditoría a la que deben someterse los sistemas de información.
La presente Instrucción tiene por objeto establecer las condiciones para la realización de las auditorías con el fin de determinar el grado de conformidad con el ENS.
(La presente Instrucción Técnica también será de aplicación a las actividades de auditoría y emisión de informes realizados por entidades, órganos y unidades dependientes de Administraciones Públicas cuyas competencias se correspondan con el desarrollo de auditorías de información).