Se establece como necesaria la exhibición de una Declaración de Conformidad – para sistemas de categoría Básica – o una Certificación de Conformidad – obligatorio para sistemas de categoría Media o Alta y voluntario para sistemas de categoría Básica -, a través de los distintivos detallados en la guía técnica CCN-STIC-809, para mostrar a todas las partes interesadas el compromiso de la entidad auditada con la Seguridad de sus Sistemas, incluyendo la Información tratada y los Servicios prestados.
La Certificación de Conformidad debe ser expedida por una Entidad Certificadora que esté acreditada por la Entidad Nacional de Acreditación (ENAC) conforme a UNE-EN ISO 17065:2012 para la certificación de sistemas del ámbito de aplicación del Esquema Nacional de Seguridad.
Declaración de Conformidad
Únicamente válido para sistemas de categoría Básica, el titular del órgano superior debe dar publicidad a la conformidad de los sistemas de información afectados mediante una Declaración de Conformidad, conforme a la estructura detallada en el Anexo A de la guía técnica CCN-STIC-809.
La Declaración debe expresarse mediante un documento electrónico, en formato no editable, y será firmado por AUDERTIS en caso de delegación del mismo .
Así mismo, se recomienda la utilización de un Distintivo de Declaración de Conformidad, que incluya un enlace a la Declaración de Conformidad, siendo visible a través de la sede electrónica o página web de la entidad pública o privada de que se trate.
Certificación de Conformidad
La Certificación de Conformidad es obligatoria para sistemas de categoría Media y Alta, y voluntaria para sistemas de categoría Básica.
Debe obtenerse a través de la superación de la correspondiente Auditoría por una Entidad Certificadora acreditada por ENAC, siendo AUDERTIS la única 100% especializada en esta materia.
La Certificación de Conformidad debe ser expresada mediante un documento electrónico, firmado obligatoriamente por la Entidad Certificadora.
La utilización del Distintivo de Certificación de Conformidad estará sujeta a la posesión de la Declaración de Conformidad y deberá ser obligatoriamente expedido por la Entidad de Certificación. Incluirá un enlace a la Certificación de Conformidad anterior para poder mostrarlo en la sede electrónica o página web de la entidad pública o privada de que se trate.