Saltar al contenido principal
ResoluciónNacionalvigente

Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública, por la que se aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información.

BOE-A-2018-4573Publicada: 03/04/2018Ministerio de Hacienda y Función Pública

¿Qué dice esta ley?

═══════════════════════════════════════════════════════════════════ IURISWATCH — Resumen generado por inteligencia artificial © Susan Cabot SLU (NIF B75682989) — Estructura editorial registrada Criterios editoriales: Susan Cabot, asesora fiscal y contable Jurisdicción: ES Fecha de generación: 2026-05-27 Fuente original: ES-BOE — Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública ⚠ Este resumen ha sido elaborado mediante inteligencia artificial aplicando criterios editoriales humanos propietarios. No sustituye al documento oficial original ni constituye asesoramiento jurídico o fiscal. Consulte siempre el texto íntegro en la fuente oficial. ═══════════════════════════════════════════════════════════════════ 1. **QUÉ RESUELVE** La Resolución de 27 de marzo de 2018 aprueba la Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información, que establece normas para la realización de auditorías de seguridad en el marco del Esquema Nacional de Seguridad (ENS). 2. **CONTEXTO** Esta norma se enmarca en el Real Decreto 3/2010, que regula el ENS en la Administración Electrónica. El objetivo es garantizar la protección de la información mediante instrucciones técnicas de seguridad de obligado cumplimiento. La presente resolución se publica como resolución de la Secretaría de Estado de Función Pública, a propuesta del Ministerio de Hacienda y Función Pública. 3. **CONTENIDO JURÍDICO** La Instrucción Técnica de Seguridad de Auditoría de la Seguridad de los Sistemas de Información establece un marco detallado para la realización de auditorías de seguridad en el ámbito público. En concreto, se establecen requisitos para la elaboración de informes de auditoría, que deben incluir el estado de la seguridad del sistema, el grado de confianza en las revisiones internas, y la conclusión del Equipo de Auditoría sobre la certificación del sistema. Estos informes pueden ser requeridos por el Centro Criptológico Nacional (CCN-CERT) según el artículo 37 del ENS. La norma también establece que las entidades auditoras del sector público, como órganos, organismos y unidades vinculadas a las Administraciones Públicas, deben cumplir con esta instrucción técnica, siempre que sus competencias incluyan la realización de auditorías de sistemas de información. Además, se incorpora el tratamiento de datos personales, considerando tanto la Ley Orgánica 15/1999 de Protección de Datos como el Reglamento (UE) 2016/679 desde el 25 de mayo de 2018. En cuanto a la estructura de los informes de auditoría, se detalla que deben incluir información sobre el nivel de seguridad en cada dimensión del ENS, así como el análisis de los riesgos y las medidas de protección aplicadas. También se establecen requisitos para la documentación y la comunicación de incidentes de seguridad, que deben ser notificados conforme a lo previsto en el ENS. La norma se aplica a todos los sistemas de información que, en su funcionamiento, incluyan el tratamiento de datos personales, con especial atención al cumplimiento de las normativas vigentes en materia de protección de datos. Además, se garantiza la debida imparcialidad en las auditorías, lo que implica que las entidades auditoras deben cumplir con los principios de independencia y objetividad. Esta instrucción técnica se complementa con la Disposición Adicional Cuarta del Real Decreto 3/2010, que enumera los aspectos específicos que deben ser regulados, entre ellos la auditoría de seguridad. La norma también se ajusta a las disposiciones de la Ley 39/2015 y la Ley 40/2015, que regulan el procedimiento administrativo y el régimen jurídico del sector público, respectivamente. 4. **CONCLUSIÓN SIMPLE** La Resolución de 2018 establece un marco detallado para la auditoría de seguridad en el sector público. Establece requisitos para la elaboración de informes, la imparcialidad de las entidades auditoras y el cumplimiento de normas de protección de datos. La norma se aplica a todos los sistemas de información que incluyan el tratamiento de datos personales y se complementa con el ENS. 5. **PUNTOS CLAVE** ✅ **Requisitos de auditoría**: Se establecen normas detalladas para la elaboración de informes de auditoría, incluyendo el estado de seguridad, el grado de confianza en revisiones internas y la certificación del sistema. ⚠️ **Cumplimiento de normas de protección de datos**: Se requiere la aplicación de la Ley Orgánica 15/1999 y el Reglamento (UE) 2016/679 desde el 25 de mayo de 2018. 📋 **Aplicación a entidades auditoras del sector público**: Las entidades vinculadas a las Administraciones Públicas deben cumplir con esta instrucción técnica si su actividad incluye auditorías de sistemas de información. ℹ️ **Notificación de incidentes de seguridad**: Los informes de auditoría deben incluir la notificación de incidentes de seguridad conforme al ENS. 6. **FICHA** - **Jurisdicción**: Nacional - **Fuente**: Resolución de 27 de marzo de 2018, de la Secretaría de Estado de Función Pública - **Tipo**: Resolución - **Fecha**: 27 de marzo de 2018 - **Materias**: Seguridad de la información, auditoría, protección de datos, Esquema Nacional de Seguridad (ENS), Administración Electrónica - **Relevancia**: ALTA ────────────────────────────────────────────────────────────────── ⚙ CONTENIDO GENERADO POR INTELIGENCIA ARTIFICIAL Este resumen ha sido elaborado por un sistema de IA bajo supervisión y criterios editoriales de Susan Cabot SLU. Estructura editorial y taxonomía: © Susan Cabot SLU 2026 El documento original resumido es de dominio público conforme a la normativa de propiedad intelectual aplicable. Este resumen no constituye asesoramiento jurídico ni fiscal. Reglamento (UE) 2024/1689 — AI Act — art. 50 (contenido sintético) ──────────────────────────────────────────────────────────────────

💬 Contexto ciudadano

Antes de esta Resolución, la normativa estatal, concretamente el Real Decreto 3/2010, ya establecía el Esquema Nacional de Seguridad (ENS) como marco para la protección de la información en la Administración Electrónica, previendo la aprobación de instrucciones técnicas de seguridad. Esta resolución, aprobada por la Secretaría de Estado de Función Pública, desarrolla uno de esos aspectos clave: la auditoría de seguridad de los sistemas de información, detallando cómo deben realizarse estas auditorías obligatorias según el ENS. Si bien el ENS es de aplicación nacional y no hay una normativa específica de otras Comunidades Autónomas que la contradiga directamente, esta instrucción técnica concreta la implementación de los requisitos del ENS, algo que no existía con este nivel de detalle previo. Para el ciudadano, esto importa porque garantiza una mayor uniformidad y rigor en la seguridad de los sistemas públicos con los que interactúa, reduciendo riesgos de brechas de seguridad y protegiendo mejor sus datos. ────────────────────────────────────────────────────────────────── ⚙ CONTENIDO GENERADO POR INTELIGENCIA ARTIFICIAL Este resumen ha sido elaborado por un sistema de IA bajo supervisión y criterios editoriales de Susan Cabot SLU. Estructura editorial y taxonomía: © Susan Cabot SLU 2026. El documento original resumido es de dominio público conforme a la normativa aplicable en materia de propiedad intelectual. Este resumen no constituye asesoramiento jurídico ni fiscal. Reglamento (UE) 2024/1689 — AI Act — art. 50 (contenido sintético) ──────────────────────────────────────────────────────────────────

Comparte:🦋 Bluesky𝕏 Twitterin LinkedIn

¿Esta ley afecta a tu empresa o clientes?

Consulta el articulado completo con jurisprudencia del Tribunal Supremo, doctrina DGT y resoluciones TEAC en Atlas Iuris.

Explorar Atlas Iuris →