ENS (Esquema Nacional de Seguridad) Usługi audytu i certyfikacji | Akredytowana zgodność z ENS – Lazarus Alliance. Dzwonić +1 (888) 896-7580 dzisiaj.
-
Partnerzy Lazarus Alliance w zakresie audytu certyfikacyjnego FedRAMPFedRAMP, FISMA i NIST Audit; jesteśmy gotowi, kiedy Ty będziesz gotowy!
- Czego można się spodziewać
- Kompleksowe usługi audytowe FedRAMP, FISMA i NIST
- To skomplikowane!
- Chcemy być Twoim partnerem i audytorem FedRAMP, FISMA i NIST pierwszego wyboru! Aby uzyskać więcej informacji, skontaktuj się z nami za pomocą formularza po prawej stronie lub dzwoniąc pod numer 1-888-896-7580.
Sojusz Lazarus będzie bezpośrednio współpracować z Twoją organizacją w celu zaplanowania Twojego spotkania. Ramy bezpieczeństwa narodowego (ENS) ocena. Nasi asesorzy pomogą określić poziom certyfikacji na podstawie konkretnych wymagań biznesowych Twojej firmy. Twoja firma otrzyma certyfikację na odpowiednim poziomie ENS po wykazaniu odpowiedniej dojrzałości w zakresie zdolności i dojrzałości organizacyjnej.
National Security Framework to obowiązkowe prawo dla przedsiębiorstw sektora publicznego i ich dostawców technologii, które ustanawia niezbędne warunki w celu zagwarantowania zaufania do korzystania z mediów elektronicznych. W tym celu ustanawia szereg środków, które gwarantują bezpieczeństwo systemów, danych, komunikacji i usług elektronicznych, umożliwiając wykonywanie praw i wypełnianie obowiązków za pośrednictwem tych mediów.
Dokument ten ustanawia politykę bezpieczeństwa w zakresie korzystania z mediów elektronicznych. Składa się z podstawowych zasad i minimalnych wymagań, które umożliwiają odpowiednią ochronę systemów informatycznych, usług i ich informacji.
Narodowy System Bezpieczeństwa (ENS)
Esquema Nacional de Seguridad (ENS), utworzona na mocy art Dekret królewski 311/2022 (aktualizacja Dekretu Królewskiego 3/2010) to hiszpańskie ramy regulacyjne mające na celu zapewnienie bezpieczeństwa systemów informatycznych wykorzystywanych przez podmioty publiczne i prywatne. Ich głównym celem jest ochrona informacji i usług poprzez promowanie spójnego, opartego na ryzyku podejścia do cyberbezpieczeństwa, zapewniającego poufność, integralność, dostępność, autentyczność i identyfikowalność danych.
ENS ma zastosowanie do:
- Podmioty publiczne:Wszystkie organy administracji publicznej, w tym jednostki administracji rządowej na szczeblu centralnym, regionalnym i lokalnym, powinny zabezpieczyć swoje usługi i dane elektroniczne.
- Podmioty prywatne:Organizacje świadczące usługi na rzecz administracji publicznej lub przetwarzające poufne dane związane z usługami publicznymi, takie jak dostawcy infrastruktury krytycznej lub kontrahenci.
Program nakazuje wdrożenie środków bezpieczeństwa proporcjonalnych do poziomu ryzyka systemów, klasyfikowanych jako Podstawowy, Średni lub Wysoki, i wymaga certyfikacji w celu potwierdzenia zgodności. Certyfikacja obejmuje rygorystyczny proces audytów dokumentacji i audytów na miejscu w celu weryfikacji zgodności z wymogami bezpieczeństwa ENS, zapewniając solidną ochronę przed cyberzagrożeniami.
Poziomy bezpieczeństwa ENS (Esquema Nacional de Seguridad – dekret królewski 311/2022)
Hiszpańska ENS klasyfikuje każdy system informatyczny według jednego z trzech poziomów bezpieczeństwa: Niski (Bajo), średni (Medio) lub wysoki (Alto) — w oparciu o potencjalny wpływ incydentu bezpieczeństwa na wymiary poufność, integralność, autentyczność, możliwość śledzenia i dostępność.
| Poziom | Kiedy ma to zastosowanie (wpływ kompromisu) | Wymagania dotyczące certyfikacji (od maja 2025 r.) |
|---|---|---|
| NISKI (Bajo) | Niewielkie lub znikome szkody dla organizacji, obywateli lub państwa. Brak znaczącego uszczerbku dla praw, działalności gospodarczej lub podstawowych usług. | Tylko deklaracja zgodności (oświadczenie własne). Brak obowiązkowej certyfikacji zewnętrznej. |
| ŚREDNI (Medio) | Znaczne szkody: dotyczą znacznej liczby użytkowników, powodują istotne straty ekonomiczne lub utrudniają normalne funkcjonowanie usług (lecz nie są krytyczne). | Obowiązkowa certyfikacja stron trzecich przez jednostkę akredytowaną przez ENAC (np. Lazarus Alliance). |
| WYSOKI (Alto) | Bardzo poważne szkody: poważny wpływ na prawa obywateli, poważne reperkusje ekonomiczne lub finansowe lub zakłócenie podstawowych/krytycznych usług (w tym bezpieczeństwa narodowego lub informacji niejawnych). | Obowiązkowa certyfikacja stron trzecich (najbardziej rygorystyczny zakres audytu) + dodatkowe wymagania (np. korzystanie z zatwierdzonych przez CCN produktów kryptograficznych w przypadku danych tajnych). |
Jak ustala się poziom
Organizacja musi przeprowadzić formalną analizy ryzyka (zagrożenia × luki w zabezpieczeniach × wartość aktywów) dla każdego z pięciu wymiarów bezpieczeństwa. Największy wynikowy wpływ w dowolnym wymiarze definiuje ogólny poziom systemu.
Przykład:
- Jeżeli utrata poufności spowodowałaby „znaczną” szkodę → Średni
- Jeżeli utrata dostępności może sparaliżować kluczową usługę publiczną → Wysoki
Ponieważ 2025 maja,Wszystkie istniejące systemy średniego i wysokiego poziomu muszą posiadać ważny certyfikat ENS wydany przez jednostkę certyfikującą akredytowaną przez ENAC. Nowe systemy muszą zostać certyfikowane przed wprowadzeniem do produkcji.
Potrzebujesz pomocy w określeniu poziomu ENS swojego systemu lub uzyskaniu certyfikacji? Zadzwoń do Lazarus Alliance pod numer +1 (888) 896-7580 — jesteśmy certyfikowaną przez ENAC jednostką certyfikującą ENS i z powodzeniem certyfikowaliśmy dziesiątki międzynarodowych dostawców i hiszpańskich podmiotów publicznych.
Harmonogram audytu: Czego można się spodziewać po Lazarus Alliance
Lazarus Alliance stosuje ustrukturyzowany proces zgodny z normą ISO/IEC 17065. Nasze podejście opiera się na metodologii ścieżki krytycznej i Maszyna audytu informatycznego (ITAM) Platforma przyspieszająca audyty nawet o 46%, skupiająca się na proaktywnej identyfikacji luk i efektywnym przetwarzaniu dowodów. Pełna wstępna certyfikacja zazwyczaj trwa 3-6 miesięcy od rozpoczęcia, w zależności od zakresu, gotowości i potrzeb naprawczych.
Szczegółowy harmonogram audytu i zgodności ENS (Esquema Nacional de Seguridad).
Sojusz Lazarus stosuje ten ustrukturyzowany, 6-etapowy proces certyfikacji ENS, oceny luk i ciągłej zgodności z hiszpańskim programem bezpieczeństwa narodowego (Dekret królewski 311/2022) dla administracji publicznej i operatorów infrastruktury krytycznej.
| Faza | Aktywności | Typowy czas trwania | Kluczowe produkty i narzędzia |
|---|---|---|---|
| Faza 0 – Wstępne zaangażowanie i decyzja | Konsultacje wstępne, przegląd stosowalności ENS, NDA i list intencyjny | 1-2 tygodni | Podpisano SOW, kartę projektu i dostęp do portalu Continuum GRC |
| Faza 1 – Rozpoczęcie i określenie zakresu | Spotkanie inauguracyjne, wybór kategorii ENS (WYSOKA/ŚREDNIA/NISKA), przegląd katalogu kontroli i macierz stosowalności | Tydzień 0–1 | Sfinalizowany dokument zakresu ENS, dostosowana lista kontroli, lista żądań dokumentów |
| Faza 2 – Ocena luk i zbieranie dowodów | Analiza luk w odniesieniu do wszystkich wymagań ENS (organizacyjnych, operacyjnych, ochrony, obrony, odzyskiwania), przesyłanie dowodów | Tygodnie 1–5 | Kompletny pakiet dowodów w Continuum GRC, szczegółowy plan naprawy luk |
| Faza 3 – Naprawa i walidacja | Wsparcie w zakresie napraw, aktualizacja polityki, wdrażanie kontroli technicznej i dostosowanie ISMS do normy ISO 27001 | Tygodnie 5–9 | Zweryfikowane kontrole, zaktualizowane procedury operacyjne i zapisy szkoleniowe |
| Faza 4 – Ocena, praca w terenie i testowanie | Testowanie kontrolne, wywiady, ocena podatności, testy penetracyjne, symulowane audyty ENS | Tygodnie 9–12 | Wyniki testów, raport z wstępnych ustaleń i panele informacyjne w czasie rzeczywistym |
| Faza 5 – Raportowanie, certyfikacja i bieżąca konserwacja | Dostarczenie raportu końcowego, rozwiązanie ustaleń, deklaracja zgodności ENS i roczne planowanie nadzoru | Tygodnie 12–14 + w toku | Ostateczny raport zgodności z ENS, oficjalny pakiet deklaracji, plan ciągłego monitorowania Cybervisor™ |
Dlaczego klienci kończą pracę szybciej dzięki Lazarus Alliance: Nasza metodologia Proactive Cyber Security®, platforma Cybervisor™ i automatyzacja Continuum GRC zazwyczaj skracają czas oceny i certyfikacji ENS o 40–50%, jednocześnie dostarczając wyższej jakości dokumentację zgodną z CCN-STIC i solidny program bezpieczeństwa narodowego.
Aby otrzymać indywidualną wycenę audytu ENS lub rozpocząć pracę, zadzwoń pod numer +1 (888) 896-7580 — zespoły Lazarus Alliance Cybervisor™ są gotowe.
Najczęściej zadawane pytania
Czym jest ENS (Esquema Nacional de Seguridad) i kogo dotyczy w Hiszpanii?
Esquema Nacional de Seguridad (ENS) to hiszpańskie ramy bezpieczeństwa narodowego utworzone przez Dekret królewski 311/2022. Dotyczy ona wszystkich podmiotów sektora publicznego w Hiszpanii oraz przedsiębiorstw prywatnych, które świadczą usługi lub dostarczają systemy hiszpańskiej administracji publicznej (w tym dostawców usług w chmurze, usług zarządzanych, operatorów infrastruktury krytycznej i ich podwykonawców).
Jakie główne zmiany wprowadza nowy ENS (Dekret królewski 311/2022)?
Zaktualizowana ENS znacząco podnosi poprzeczkę w porównaniu z wersją z 2010 r.: surowsze wymogi dotyczące zarządzania ryzykiem, obowiązkowa certyfikacja systemów średniego i wysokiego poziomu, nowe środki bezpieczeństwa (np. bezpieczeństwo chmury, bezpieczeństwo łańcucha dostaw i kryptologia), bardziej rygorystyczne terminy zgłaszania incydentów (w ciągu 24 godzin w przypadku poważnych incydentów) oraz wyraźne dostosowanie do NIS2 i innych przepisów UE.
Jakie są trzy poziomy zgodności ENS (niski, średni, wysoki) i w jaki sposób ustala się dany poziom?
- Niski Podstawowa ochrona informacji lub usług niekrytycznych
- Średni:Ma zastosowanie w przypadku umiarkowanego ryzyka naruszenia poufności, integralności lub dostępności
- Wysoki : Wymagane w systemach przetwarzających informacje niejawne, usługach o znaczeniu krytycznym lub w przypadku, gdy naruszenie bezpieczeństwa mogłoby spowodować poważne szkody dla obywateli lub państwa. Poziom ten jest określany poprzez formalną analizę ryzyka opartą na wymiarach poufności, integralności, autentyczności, identyfikowalności i dostępności.
Czy certyfikacja ENS jest obowiązkowa i do kiedy organizacje muszą ją spełnić?
Tak. Wszystkie systemy informatyczne, które osiągnęły poziom średni lub wysoki, muszą uzyskać certyfikację ENS. Istniejące systemy mają czas do maja 2024 r. na uzyskanie certyfikacji zgodnie z nową normą. Dekret królewski 311/2022Nowe systemy muszą zostać certyfikowane przed wprowadzeniem do produkcji.
Na czym polega proces certyfikacji ENS?
Proces obejmuje:
- Formalna ocena ryzyka i określenie poziomu bezpieczeństwa
- Analiza luk w odniesieniu do ponad 75 środków bezpieczeństwa wymienionych w załączniku II
- Wdrożenie lub naprawa kontroli
- Przygotowanie Deklaracji Stosowalności (DoA) i Oświadczenia Bezpieczeństwa
- Niezależna ocena zgodności (audyt) przeprowadzona przez jednostkę akredytowaną przez ENAC
- Wydanie certyfikatu ENS (ważnego przez 5 lat z corocznymi audytami kontrolnymi)
Jesteśmy międzynarodową firmą świadczącą usługi dla hiszpańskich podmiotów publicznych. Czy potrzebujemy certyfikatu ENS?
Tak. Każda organizacja (niezależnie od lokalizacji), która przetwarza informacje lub świadczy usługi elektroniczne na rzecz hiszpańskiej administracji publicznej, musi przestrzegać wymogów ENS na poziomie wymaganym przez umowę lub usługę. Wiele przetargów publicznych obecnie wyraźnie wymaga certyfikacji ENS jako warunku wstępnego.
Jaki jest związek ENS z normami NIS2, ISO 27001 i innymi ramami?
ENS jest w pełni zgodny z wymogami NIS2 w Hiszpanii. Organizacja o dojrzałej ISO 27001 certyfikację można uzyskać szybciej, ponieważ około 70–80% kontroli się pokrywa, ale ENS ma dodatkowe, specyficzne dla Hiszpanii wymagania (np. krajowa kryptologia, określone zgłaszanie incydentów do INCIBE i wymagania dotyczące łańcucha dostaw).
W jaki sposób Lazarus Alliance może nam pomóc w uzyskaniu i utrzymaniu certyfikatu ENS?
Lazarus Alliance świadczy kompleksowe usługi ENS, w tym:
- Wstępna ocena ryzyka i poziomu bezpieczeństwa
- Analiza luk i plany naprawcze
- Wsparcie wdrażania środków technicznych i organizacyjnych
- Przygotowanie wszelkiej wymaganej dokumentacji (DoA, polityki bezpieczeństwa itp.)
- Pełne audyty oceny zgodności (jesteśmy jednostką kwalifikowaną ENAC)
- Bieżąca konserwacja i coroczne audyty nadzoru. Pomogliśmy wielu hiszpańskim podmiotom publicznym i międzynarodowym dostawcom uzyskać terminowo certyfikat ENS wysokiego poziomu.
Korzyści wynikające ze zgodności z ENS
Korzyści z uzyskania certyfikatu ENS (Esquema Nacional de Seguridad), zgodnie z przepisami Dekretu Królewskiego 311/2022 w Hiszpanii, są znaczące zarówno dla podmiotów publicznych, jak i prywatnych, zapewniając solidne cyberbezpieczeństwo i zgodność z Narodowymi Ramami Bezpieczeństwa. Poniżej przedstawiono najważniejsze korzyści:
- Zwiększone bezpieczeństwo cybernetyczne: Certyfikacja ENS gwarantuje, że systemy informatyczne spełniają rygorystyczne wymogi bezpieczeństwa dotyczące poufności, integralności, dostępności, autentyczności i identyfikowalności. Wdrażając środki bezpieczeństwa oparte na ryzyku, dostosowane do kategorii systemu (podstawowy, średni, wysoki), organizacje zmniejszają podatności na zagrożenia i chronią się przed cyberzagrożeniami, takimi jak naruszenia danych czy nieautoryzowany dostęp.
- Zgodność z przepisami: W przypadku podmiotów publicznych certyfikacja ENS jest obowiązkowa, aby zachować zgodność z Dekretem Królewskim 311/2022, który zapewnia przestrzeganie krajowych standardów bezpieczeństwa usług elektronicznych. Podmioty prywatne współpracujące z administracją publiczną (np. wykonawcy lub dostawcy infrastruktury krytycznej) również spełniają wymogi prawne, unikając kar lub wykluczenia z zamówień publicznych.
- Większe zaufanie i wiarygodność: Certyfikacja świadczy o zaangażowaniu w cyberbezpieczeństwo, zwiększając zaufanie klientów, partnerów i interesariuszy. Podmioty publiczne i prywatne mogą wykazać się zgodnością z uznanym standardem krajowym, wzmacniając swoją reputację w zakresie niezawodności i bezpieczeństwa.
- Dostęp do możliwości sektora publicznego: Prywatne organizacje posiadające certyfikat ENS zyskują przewagę konkurencyjną przy ubieganiu się o kontrakty z administracją publiczną, gdyż zgodność z wymogami jest często warunkiem wstępnym współpracy lub świadczenia usług w takich sektorach jak opieka zdrowotna, finanse czy infrastruktura krytyczna.
- Zarządzanie ryzykiem i odporność: Struktura ENS promuje podejście oparte na ryzyku, wymagając od organizacji systematycznej identyfikacji, oceny i ograniczania ryzyka. Poprawia to odporność operacyjną, zmniejsza prawdopodobieństwo wystąpienia incydentów i zapewnia szybsze odzyskiwanie po potencjalnych zakłóceniach.
- Standaryzowane praktyki bezpieczeństwa: Certyfikacja dostosowuje systemy do ujednoliconego zestawu środków bezpieczeństwa, wspierając spójne i interoperacyjne praktyki cyberbezpieczeństwa w różnych działach lub jednostkach biznesowych. Jest to szczególnie korzystne dla dużych organizacji lub tych działających w złożonych środowiskach IT.
- Ochrona wrażliwych danych: Certyfikat ENS gwarantuje solidną ochronę poufnych informacji, takich jak dane osobowe czy krytyczne dane operacyjne, zgodnie z przepisami o ochronie danych, takimi jak RODO. Zmniejsza to ryzyko odpowiedzialności prawnej i utraty reputacji w wyniku wycieku danych.
- Zróżnicowanie rynku: W przypadku podmiotów prywatnych certyfikat ENS świadczy o wysokim poziomie dojrzałości w zakresie cyberbezpieczeństwa, co wyróżnia je na tle konkurencji w branżach, w których bezpieczeństwo jest priorytetem, takich jak technologia, telekomunikacja czy dostawcy usług publicznych.
- Wsparcie transformacji cyfrowej: Zabezpieczając systemy informatyczne, certyfikat ENS umożliwia organizacjom bezpieczne wdrażanie technologii cyfrowych, usług w chmurze i inicjatyw e-administracji, wspierając innowacyjność przy jednoczesnym zachowaniu zgodności z przepisami.
- Ciągłe doskonalenie: Proces certyfikacji obejmuje okresowe audyty nadzoru i odnowienia certyfikatów (zazwyczaj co 2–3 lata), co zapewnia stałą zgodność z przepisami i zachęca organizacje do utrzymywania i aktualizowania środków bezpieczeństwa w odpowiedzi na zmieniające się zagrożenia.
Uzyskując certyfikat ENS, organizacje nie tylko spełniają wymogi regulacyjne, ale także budują mocniejsze i bezpieczniejsze podstawy dla swoich działań, wzmacniając zaufanie i umożliwiając bezpieczną współpracę w sektorze publicznym i prywatnym w Hiszpanii.
Porozmawiaj z jednym z naszych ekspertów
Nasze zespoły Lazarus Alliance Cybervisor™ mają doświadczenie w przeprowadzaniu tysięcy ocen dla organizacji świadczących usługi klientom na całym świecie.
Jesteśmy tutaj, aby odpowiedzieć na wszelkie Twoje pytania.
Proces certyfikacji ENS
Proces certyfikacji Esquema Nacional de Seguridad (ENS), regulowany w Hiszpanii Dekretem Królewskim 311/2022, obejmuje szereg ustrukturyzowanych etapów weryfikacji zgodności systemów informatycznych organizacji z wymogami Ram Bezpieczeństwa Narodowego. Poniżej znajduje się szczegółowy opis procesu certyfikacji, w tym jego etapów, oparty na schemacie ENS i zgodny z normami UNE-EN ISO/IEC 17065:2012 dla jednostek certyfikujących, takich jak Lazarus Alliance:
- Wniosek i umowa:
- Opis: Organizacja ubiegająca się o certyfikację składa wniosek do akredytowanej jednostki certyfikującej. Wniosek zawiera szczegółowe informacje na temat systemów informatycznych, które mają zostać certyfikowane, ich zakresu oraz kategorii bezpieczeństwa (podstawowy, średni lub wysoki) zgodnie z wymogami ENS.
- Działania: Jednostka certyfikująca sprawdza kompletność i wykonalność wniosku, określa zakres certyfikacji i zawiera z klientem prawnie wiążącą umowę certyfikacyjną, określającą obowiązki, harmonogram i koszty.
- Rezultat: Podpisanie formalnej umowy, potwierdzającej, że klient zobowiązuje się do zapewnienia niezbędnego dostępu i dokumentacji na potrzeby procesu certyfikacji. - Audyt dokumentów (etap 1):
- Opis: Jednostka certyfikująca przeprowadza poza siedzibą firmy przegląd dokumentacji organizacji w celu oceny zgodności z wymogami ENS.
- Działania:
- Przegląd polityk bezpieczeństwa organizacji, ocen ryzyka, środków bezpieczeństwa i procedur zapewniających poufność, integralność, dostępność, autentyczność i możliwość śledzenia.
- Weryfikacja, czy środki bezpieczeństwa systemu są zgodne z kategorią ENS (Podstawowy, Średni lub Wysoki) zgodnie z opisem w Dekrecie Królewskim 311/2022.
- Identyfikacja wszelkich luk i niezgodności w dokumentacji.
- Rezultat: Sporządzany jest raport szczegółowo opisujący ustalenia, w tym wszelkie niezgodności, które należy usunąć przed przejściem do kolejnego etapu. Organizacja może być zmuszona do wdrożenia działań korygujących. - Audyt na miejscu (etap 2):
- Opis: Jednostka certyfikująca przeprowadza ocenę na miejscu w celu weryfikacji wdrożenia i skuteczności środków bezpieczeństwa udokumentowanych w etapie 1.
- Działania:
- Kontrola kontroli bezpieczeństwa fizycznego i logicznego, w tym kontroli dostępu, mechanizmów reagowania na incydenty i konfiguracji systemu.
- Wywiady z personelem w celu potwierdzenia przestrzegania udokumentowanych procedur.
- Testowanie środków technicznych (np. szyfrowania, systemów uwierzytelniania) i procesów operacyjnych w celu sprawdzenia, czy spełniają one wymagania ENS dla określonej kategorii.
- Ocena zgodności z wszelkimi działaniami korygującymi zidentyfikowanymi w etapie 1.
- Rezultat: Sporządzony zostanie szczegółowy raport z audytu, w którym zostanie przedstawiony status zgodności i wszelkie pozostałe niezgodności. Przed przyznaniem certyfikatu konieczne będzie usunięcie istotnych niezgodności. - Decyzja certyfikacyjna:
- Opis: Jednostka certyfikująca analizuje ustalenia z obu etapów audytu w celu podjęcia bezstronnej decyzji o przyznaniu certyfikatu ENS.
- Działania:
- Niezależny komitet kontrolny lub wyznaczony decydent ocenia raporty z audytu, zapewniając obiektywność i zgodność z normą UNE-EN ISO/IEC 17065:2012.
- Weryfikacja, czy wszystkie niezgodności (poważne i drobne) zostały odpowiednio rozwiązane.
- Rezultat: Jeśli organizacja spełnia wymogi, otrzymuje certyfikat ENS, ważny przez okres określony w programie (zazwyczaj 2-3 lata). Jednostka certyfikująca wydaje certyfikat i upoważnia do używania znaku/logo ENS na określonych warunkach. - Audyty nadzoru:
- Opis: W okresie ważności certyfikatu przeprowadzane są okresowe audyty w celu zapewnienia ciągłej zgodności z wymogami ENS.
- Działania:
- Roczne lub dwuletnie audyty nadzoru (w zależności od programu i kategorii systemu) mające na celu weryfikację ciągłego przestrzegania środków bezpieczeństwa.
- Przegląd zmian w systemie, ocen ryzyka lub incydentów bezpieczeństwa od momentu certyfikacji.
- Ocena rejestrów skarg i działań korygujących podjętych przez organizację.
- Wynik: Raport z nadzoru potwierdza zgodność lub identyfikuje niezgodności wymagające podjęcia działań korygujących w celu utrzymania certyfikatu. - Audyt odnowienia:
- Opis: Po upływie okresu ważności certyfikatu (zwykle 2–3 lata) przeprowadzany jest audyt odnowieniowy w celu ponownej certyfikacji systemu.
- Działania:
- Kompleksowa ponowna ocena podobna do etapów 1 i 2, oceniająca system w kontekście obecnych wymogów ENS i wszelkich aktualizacji zawartych w Królewskim Dekrecie 311/2022.
- Przegląd ustaleń audytu nadzorczego i bieżącej zgodności organizacji.
- Wynik: W przypadku pozytywnego wyniku, wydawany jest nowy certyfikat, przedłużający certyfikację o kolejny cykl. Niezgodności mogą opóźnić lub uniemożliwić odnowienie certyfikatu do czasu ich usunięcia.
Uwagi dodatkowe
- Wymagania akredytacyjne: Jednostka certyfikująca musi posiadać akredytację krajowej jednostki akredytującej (np. ENAC w Hiszpanii), aby zagwarantować bezstronność i kompetencje zgodnie z normą UNE-EN ISO/IEC 17065:2012.
- Obowiązki klienta: Organizacja musi zapewnić dostęp do dokumentacji, personelu i obiektów, prowadzić rejestr skarg i powiadamiać jednostkę certyfikującą o istotnych zmianach w systemie, zgodnie z wytycznymi normy ISO/IEC 17065, klauzula 4.1.2.
- Zagadnienia specyficzne dla ENS: Proces ten jest zgodny z naciskiem systemu ENS na środki bezpieczeństwa oparte na ryzyku, z bardziej rygorystycznymi wymaganiami dla wyższych kategorii systemu (średniej i wysokiej). Centro Criptológico Nacional (CCN) zapewnia dodatkowe wytyczne dotyczące wdrażania ENS, które jednostka certyfikująca uwzględnia w procesie audytu.
- Niezgodności: Wszelkie niezgodności zidentyfikowane podczas audytów muszą zostać usunięte w terminie uzgodnionym z jednostką certyfikującą. Poważne niezgodności (np. krytyczne luki w zabezpieczeniach) zazwyczaj wymagają rozwiązania przed certyfikacją, natomiast drobne niezgodności mogą zostać usunięte w trakcie nadzoru.
Dzięki temu ustrukturyzowanemu procesowi mamy pewność, że certyfikowane systemy spełniają rygorystyczne standardy bezpieczeństwa ENS, chroniąc poufne informacje i umożliwiając zachowanie zgodności z przepisami hiszpańskimi.