CÓDIGO
S08
NOMBRE
Evaluación de seguridad de sistemas de información
OBJETIVO
Verificar el cumplimiento de la normativa aplicable de obligado cumplimiento en materia de seguridad como requisitos básicos generales, especialmente lo obligado por el Esquema Nacional de Seguridad (ENS) en función de la categorización del sistema y por protección de datos de carácter personal que maneje el sistema. Así como posibles requisitos específicos añadidos del sistema de información.
Cuando el sistema está en integración y despliegue continuo (CI/CD), siempre que sea viable estas evaluaciones se ejecutan como parte del pipeline definido, de forma completa o en parte.
ENTRADAS
1) Plan Específico de la Calidad del Sistema (PECS).
2) Información de ayuda del uso del sistema (opcional).
3) Plan de pruebas de seguridad (opcional).
4) Requisitos de seguridad específicos del sistema (opcional).
5) Acceso al sistema de información desplegado en un entorno de pruebas, para poder ejecutar las pruebas.
6) Si las evaluaciones están automatizadas, acceso al pipeline en la plataforma CI/CD y al resto de herramientas en las que se sustenta la automatización.
SALIDAS
1) Informe del resultado con detalle de todas las pautas de evaluación realizadas, incluyendo recomendaciones.
2) Plan de pruebas de seguridad actualizado, si procede.
3) Actualización del sistema en la herramienta HRC detallada en el Plan General de Calidad.
4) Defectos registrados en la herramienta correspondiente, si procede.
RESULTADO
- Superado: Las verificaciones han obtenido resultado satisfactorio con la normativa vigente y los requisitos específicos si los hubiera.
- Superado con reservas: Las verificaciones han obtenido resultado satisfactorio con la normativa vigente y los requisitos específicos si los hubiera, pero debido a una serie de excepciones con falta de conformidad, no es plenamente conforme, siempre que no se comprometa la seguridad según lo exigido al sistema por la normativa vigente y los requisitos específicos si los hubiera.
- No superado: No es conforme con la normativa vigente y los requisitos específicos si los hubiera. Indicándose las excepciones y/o los aspectos no conformes.
CADUCIDAD
6 meses
PAUTAS DE EVALUACIÓN
| ID. | DESCRIPCIÓN | SEVERIDAD | OBSERVACIONES |
| C01 | Verificaciones automáticas y manuales exigidas por la normativa aplicable de obligado cumplimiento en materia de seguridad como requisitos básicos generales, especialmente lo obligado por el Esquema Nacional de Seguridad (ENS) en función de la categorización del sistema y por protección de datos de carácter personal que maneje el sistema. Así como posibles requisitos específicos añadidos del sistema de información. | ALTA | Cada Oficina de Calidad, detallará una relación de items en detalle, estableciendo una correspondencia entre cada item exigido y las verificaciones realizadas, para que el resultado sirva como evidencias en el cumplimiento de cada item en particular. Se deberá exigir el cumplimiento de cada item al sistema acorde a lo exigido por la normativa, según su categoría ENS, y los datos personales recogidos. En caso de no disponer de un Plan de pruebas, puede solicitar el servicio de apoyo "Elaboración y Evolución de Planes de Prueba". |
FECHA ACTUALIZACIÓN
21/10/2024