Sign in Subscribe

📄 Documentación que te van a pedir en una auditoría ENS

Descubre qué documentación te van a pedir en una auditoría ENS y cómo prepararte para evitar no conformidades.

Documentación para auditoría ENS con políticas, análisis de riesgos y declaración de aplicabilidad
Documentación clave para superar una auditoría ENS: políticas, riesgos y evidencias

Este artículo forma parte del contenido práctico sobre el ENS.

👉 Si quieres profundizar, puedes ver la guía completa aquí:
https://www.handersonboratto.com/ens-desde-dentro/

Uno de los primeros pasos en una auditoría ENS (según CCN-STIC-802) es el análisis documental.

👉 Este análisis no requiere, en principio, interacción directa con la organización
👉 pero si el auditor detecta dudas relevantes, las planteará antes de avanzar

💣 Y aquí está la clave:

👉 Con esta revisión se define el plan de auditoría de la siguiente fase

📑 Información documental requerida

🏛️ Gobierno y organización

  • Documentos firmados por el órgano superior que aprueben la política de seguridad

  • Organigrama con funciones y responsabilidades

  • Identificación de responsables:

    • de la información
    • de los servicios
    • de la seguridad
    • del sistema

👉 La base de todo esto es la política de seguridad del ENS:
https://www.handersonboratto.com/blog/politica-seguridad-ens/

🧱 Sistema y categorización

  • Categoría del sistema (según Anexo I del ENS)
  • Dimensiones de seguridad aplicables
  • Descripción detallada del sistema de información

🔐 Normativa de seguridad

  • Política de Seguridad
  • Normativa de Seguridad
  • Política de Firma Electrónica y Certificados (si aplica)

👉 Toda esta estructura se desarrolla en la normativa de seguridad:
https://www.handersonboratto.com/blog/normativa-seguridad-ens/

👉 Y se concreta en los procedimientos de seguridad:
https://www.handersonboratto.com/blog/procedimientos-seguridad-ens/

⚠️ Gestión de riesgos

  • Análisis de riesgos
  • Escenarios identificados
  • Evaluación de riesgos
  • Decisiones de tratamiento

👉 Este punto es crítico y se desarrolla en la gestión de riesgos del ENS (op.pl.1):
https://www.handersonboratto.com/blog/ens-gestion-riesgos-op-pl1/

🛠️ Medidas de seguridad

  • Declaración de Aplicabilidad
  • Medidas implantadas
  • Estado de implantación
  • Registros de actividad

📊 Auditorías y seguimiento

  • Informes de auditorías previas
  • Informes de protección de datos (si aplica)
  • Seguimiento de deficiencias detectadas

🤝 Proveedores externos

  • Lista de proveedores incluidos en el alcance
  • Evidencias del control sobre estos servicios

📈 Métricas y estado de seguridad

  • Sistemas de métricas
  • Indicadores de seguridad
  • Informes del estado de seguridad (CCN-STIC-815 / 824)

💣 Si no puedes presentar esta documentación de forma clara y coherente, no estás preparado para la auditoría ENS

Si estás trabajando el ENS, te recomiendo seguir la serie completa donde explico cada control paso a paso:
https://www.handersonboratto.com/ens-desde-dentro/

Subscribe to Handerson Boratto

Sign up now to get access to the library of members-only issues.
Jamie Larson
Subscribe