(VA) ENS - És obligatòria la divisió de responsabilitats citada en la Guia CCN- STIC 801?
Encara que la seua confecció obeeix a criteris àmplia i internacionalment reconeguts, els continguts de les Guies CCN-STIC són recomanacions, no mandats imperatius.
La divisió de responsabilitats expressada en la Guia CCN-STIC 801 respon al mandat de l'art. 10 de l'ENS, quan assenyala:
"En els sistemes d'informació es diferenciarà el responsable de la informació, el responsable d el servei i el responsable de la seguretat. El responsable de la informació determinarà els requisits de la informació tractada; el responsable del servei determinarà els requisits de els s ervicios prestats; i el responsable de seguretat determinarà les decisions per a satisfer els re quisitos de seguretat de la informació i de els serveis. La responsabilitat de la seguretat de el s sistemes d'informació estarà diferenciada de la responsabilitat sobre la prestació de els serv icios. La política de seguretat de l'organització detallarà les atribucions de cada responsable i l us mecanismes de coordinació i resolució de conflictes."
La divisió de responsabilitats enunciada en la Guia CCN-STIC 801 és una recomanació, desenvolupada per al millor compliment de el que es disposa en l'ENS, recomanació que es conté de nou en la mesura de seguretat "Segregació de funcions i tasques [op.acc.3]." de l'Annex II i que torna a trobar-se, com un de els objectius de l'Auditoria de Seguretat, en l'Annex III.1.
Arribat aquest punt, val la pena insistir en la precisa exigència que enuncia l'avantdit art.
10 de l'ENS, quan prohibeix que la funció del Responsable de Seguretat recaiga en la mateixa persona que el Responsable del Servei.
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA