(ES) ENS - ¿Existe alguna certificación que acredite la adecuación al ENS por parte de un organismo público?
Resolución de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad.
http://www.boe.es/diario_boe/txt.php?id=BOE-A-2016-10109
III. Procedimientos de determinación de la conformidad
III.1 En función de la categoría de los sistemas de información del ámbito de aplicación del Esquema Nacional de Seguridad, de acuerdo con el Anexo I del Real Decreto 3/2010, de 8 de enero, se define el procedimiento de determinación de la conformidad. Así los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad, mientras que los sistemas de categoría MEDIA O ALTA precisarán de una auditoría formal para su certificación de la conformidad.
III.2 La declaración de la conformidad con el Esquema Nacional de Seguridad de los sistemas de información con categoría BÁSICA se realizará mediante una autoevaluación que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha autoevaluación atenderá a lo dispuesto sobre auditoría en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero. Dicha autoevaluación podrá ser desarrollada por el mismo personal que administra el sistema de información o en quién éste delegue.
III.3 La certificación de la conformidad con el Esquema Nacional de Seguridad de los sistemas de información con categorías MEDIA o ALTA se realizará mediante un procedimiento de auditoría formal que, con carácter ordinario, verifique el cumplimiento de los requerimientos contemplados en el Esquema, al menos cada dos años. Dicha auditoría se realizará según lo dispuesto en el artículo 34 y en el anexo III del Real Decreto 3/2010, de 8 de enero.
III.4 Siendo obligatoria la auditoría formal para los sistemas de categoría MEDIA Y ALTA nada impide que un sistema de categoría BÁSICA se someta igualmente a una auditoria formal de certificación de la conformidad, siendo esta posibilidad siempre la deseable.
III.5 En las comunidades autónomas con lengua cooficial se podrán expedir las declaraciones, certificaciones y sus respectivos distintivos de conformidad en castellano o bien en texto bilingüe. En este caso, se expedirán en un solo documento redactado en castellano y en la correspondiente lengua cooficial, en tipos de letra de igual rango con las especificaciones y diligencias que sobre su texto se establecen en los anexos correspondientes.
Este certificado es una declaración de naturaleza privada, teniendo los efectos que, a los documentos privados, confiere nuestra legislación.
Finalmente, hay que señalar que la Guía CCN-STIC-809, hablando de los distintivos de seguridad, señala que la publicidad de estos distintivos a los que sean acreedores los sistemas, los órganos o las entidades de derecho público respecto a los mismos, reunirán los requisitos establecidos para la declaración de conformidad, referidas al distintivo de seguridad correspondiente, añadiendo, de forma clara, los datos relativos a la entidad que los emite y el ámbito a que se refiere.
Entre los distintivos se incluirán certificaciones de accesibilidad, interoperabilidad, menciones de calidad de cualesquiera de las Administraciones públicas, de organizaciones internacionales o de organismos privados.
SERVEI D'INFORMÀTICA - UNIVERSITAT DE VALÈNCIA