Cuando se están evaluando sistemas/servicios cuya categoría sea de nivel MEDIO o ALTO, lanormaseñalaquesehacenecesariopasarunaauditoríabienal,realizadaporpersonal(cualificado, obviamente)independientedel servicio/sistema que estéauditando (véase la definición de "auditoría de la seguridad", contenida en el Glosario del ENS).
Por tanto, de esta interpretación, parece quedar claro que aquellas personas que han tomado parte en el diseño, desarrollo, explotación, etc., del sistema o servicio de que se trate, no gozan de las aconsejables garantías de imparcialidad que requiere una auditoría con las debidas garantías (exigencia que aparece, de manera análoga, en los requisitos de las auditorías internas en la norma ISO 27001).
EstaexigenciaserebajacuandoseestánevaluandosistemascategorizadoscomodenivelBAJO, en cuyo caso el ENS no prescribe ninguna auditoría, sino una auto-evaluación, que (salvaguardando el nivel de conocimiento exigido que deben poseer los profesionales que la realicen) no imponen la exigencia anterior. Por tanto, si la Responsabilidad de la Seguridad está asignada a una unidad administrativa unipersonal o Pluripersonal con un único responsable (siendo, por tanto, la encargada de adoptar y gestionar las medidas de seguridad que sean preceptivas en cada caso), no podrá ser esa misma unidad administrativa quién realice las antedichas auditorías.