Auditorías de cumplimiento

La ley establece que los sistemas de información a los que se refiere el RD sean objeto de una auditoría regular ordinaria, al menos cada dos años, que verifique el cumplimiento de los requerimientos del presente Esquema Nacional de Seguridad.

Se establecen dos niveles de auditoría:

• Auditoría de categoría BÁSICA: Bastará una autoevaluación realizada por el mismo personal que administra el sistema de información. No requiere de auditoria de certificación externa. Su resultado es una Declaración de Conformidad.
• Auditoría de categoría MEDIA O ALTA. El informe de auditoría dictaminará sobre el grado de cumplimiento del presente real decreto, identificará sus deficiencias y sugerirá las posibles medidas correctoras o complementarias que sean necesarias, así como las recomendaciones que se consideren oportunas.