(VA) ENS - És obligatòria la divisió de responsabilitats citada en la Guia CCN- STIC 801?

Encara que la seua confecció obeeix a criteris àmplia i internacionalment reconeguts, els continguts de   les Guies CCN-STIC són recomanacions, no mandats imperatius.

La divisió de responsabilitats expressada en  la Guia CCN-STIC 801 respon al mandat de l'art.  10 de l'ENS,  quan assenyala:

"En  els sistemes d'informació  es diferenciarà el responsable de   la informació, el responsable d el servei i el responsable de   la seguretat. El responsable de   la informació determinarà els requisits de   la informació tractada; el responsable del servei determinarà els requisits de   els s ervicios prestats; i el responsable de seguretat determinarà les decisions per a satisfer els re quisitos de seguretat de   la informació i de   els serveis. La responsabilitat de   la seguretat de     el s sistemes d'informació  estarà diferenciada de   la responsabilitat sobre la prestació de   els serv icios. La política de seguretat de   l'organització detallarà les atribucions de cada responsable i l us mecanismes de coordinació i resolució de conflictes."

La divisió de responsabilitats enunciada en  la Guia CCN-STIC 801 és una recomanació, desenvolupada per al  millor compliment de   el que es disposa en  l'ENS, recomanació que es conté  de nou  en    la mesura de seguretat "Segregació de funcions i tasques [op.acc.3]." de l'Annex  II i que torna  a trobar-se, com un de   els objectius de   l'Auditoria de Seguretat, en  l'Annex III.1.

Arribat aquest punt, val la pena   insistir en  la precisa exigència que enuncia l'avantdit  art.

10 de l'ENS,  quan prohibeix que la funció del Responsable de Seguretat recaiga en  la mateixa persona que el Responsable del Servei.