(VA) ENS - És necessari realitzar l'auditoria de la seguretat per un auditor independent de l'organització? És possible realitzar aquesta declaració de conformitat valent-se de una autoavaluació respecte del Annex II de l'ENS?.

Quan s'estan  avaluant sistemes/serveis la categoria dels quals siga  de nivell MITJÀ o ALT, la nor dt. assenyala que es fa necessari passar una auditoria biennal, realitzada per personal (cualific ado, òbviament) independent del servei/sistema que estiga auditant (vegeu la definició d'auditoria " de   la seguretat", continguda en  el Glossari de l'ENS)..

Per tant, d'aquesta  interpretació, sembla quedar clar que aquelles persones que han pres

part en  el disseny, desenvolupament, explotació, etc., del sistema o servei  de què es tracte, no gaudeixen de   les aconsellables garanties d'imparcialitat  que requereix una auditoria amb  les degudes garanties (exigència que apareix, de   manera anàloga, en  els requisits de   les auditories internes en  la norma ISO 27001).

Aquesta exigència es rebaixa quan s'estan  avaluant sistemes categoritzats com de nivell BAIX, en aquest cas   l'ENS  no prescriu cap auditoria, sinó una acte-avaluació, que (salvaguardant el nivell  de coneixement exigit que han de posseir els professionals que la realitzen) no imposen l'exigència  anterior.

Per tant, si la Responsabilitat de   la Seguretat està assignada a una unitat administrativa

unipersonal o Pluripersonal amb un únic responsable (sent, per tant, l'encarregada  d'adoptar  i gestionar les mesures de seguretat que siguen preceptives  en  cada cas), no podrà ser aqueixa mateixa unitat administrativa qui realitze les avantdites auditories.