1. Objeto de la auditoría

  1. La seguridad de los sistemas de información de una organización será auditada en los siguientes términos:
    1. Que la política de seguridad define los roles y funciones de los responsables de la información, los servicios, los activos y la seguridad del sistema de información.
    2. Que existen procedimientos para resolución de conflictos entre dichos responsables.
    3. Que se han designado personas para dichos roles a la luz del principio de «separación de funciones».
    4. Que se ha realizado un análisis de riesgos, con revisión y aprobación anual.
    5. Que se cumplen las recomendaciones de protección descritas en el anexo II, sobre Medidas de Seguridad, en función de las condiciones de aplicación en cada caso.
    6. Que existe un sistema de gestión de la seguridad de la información, documentado y con un proceso regular de aprobación por la dirección.
  2. La auditoría se basará en la existencia de evidencias que permitan sustentar objetivamente el cumplimiento de los puntos mencionados:
    1. Documentación de los procedimientos.
    2. Registro de incidencias.
    3. Examen del personal afectado: conocimiento y praxis de las medidas que le afectan.

2. Niveles de auditoría

Los niveles de auditoría que se realizan a los sistemas de información, serán los siguientes:

  1. Auditoría a sistemas de categoría BÁSICA.
    1. Los sistemas de información de categoría BÁSICA, o inferior, no necesitarán realizar una auditoría. Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información, o en quien éste delegue.
      El resultado de la autoevaluación debe estar documentado, indicando si cada medida de seguridad está implantada y sujeta a revisión regular y las evidencias que sustentan la valoración anterior.
    2. Los informes de autoevaluación serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.
  2. Auditoría a sistemas de categoría MEDIA O ALTA.
    1. El informe de auditoría dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias, así como las recomendaciones que se consideren oportunas. Deberá, igualmente, incluir los criterios metodológicos de auditoría utilizados, el alcance y el objetivo de la auditoría, y los datos, hechos y observaciones en que se basen en que se basen las conclusiones formuladas.
    2. Los informes de auditoría serán analizados por el responsable de seguridad competente, que presentará sus conclusiones al responsable del sistema para que adopte las medidas correctoras adecuadas.

3. Interpretación

La interpretación del presente anexo se realizará según el sentido propio de sus palabras, en relación con el contexto, antecedentes históricos y legislativos, entre los que figura lo dispuesto en la instrucción técnica CCN-STIC correspondiente, atendiendo al espíritu y finalidad de aquellas.