(VA) ENS - És necessari realitzar l'auditoria de la seguretat per un auditor independent de l'organització? És possible realitzar aquesta declaració de conformitat valent-se de una autoavaluació respecte del Annex II de l'ENS?.
Quan s'estan avaluant sistemes/serveis la categoria dels quals siga de nivell MITJÀ o ALT, la nor dt. assenyala que es fa necessari passar una auditoria biennal, realitzada per personal (cualific ado, òbviament) independent del servei/sistema que estiga auditant (vegeu la definició d'auditoria " de la seguretat", continguda en el Glossari de l'ENS)..
Per tant, d'aquesta interpretació, sembla quedar clar que aquelles persones que han pres
part en el disseny, desenvolupament, explotació, etc., del sistema o servei de què es tracte, no gaudeixen de les aconsellables garanties d'imparcialitat que requereix una auditoria amb les degudes garanties (exigència que apareix, de manera anàloga, en els requisits de les auditories internes en la norma ISO 27001).
Aquesta exigència es rebaixa quan s'estan avaluant sistemes categoritzats com de nivell BAIX, en aquest cas l'ENS no prescriu cap auditoria, sinó una acte-avaluació, que (salvaguardant el nivell de coneixement exigit que han de posseir els professionals que la realitzen) no imposen l'exigència anterior.
Per tant, si la Responsabilitat de la Seguretat està assignada a una unitat administrativa
unipersonal o Pluripersonal amb un únic responsable (sent, per tant, l'encarregada d'adoptar i gestionar les mesures de seguretat que siguen preceptives en cada cas), no podrà ser aqueixa mateixa unitat administrativa qui realitze les avantdites auditories.
Rev: | 2019 / 02 |
Lang. |
|
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA