Los principales marcos normativos y guías de referencia utilizadas durante la actividad de Auditoría de Certificación son los siguientes:
- Real Decreto 3/2010 de 8 de diciembre, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Real Decreto 951/2015, de 23 de Octubre, de modificación del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
- Guía CCN-STIC-809, “Declaración y Certificación de Conformidad con el ENS y distintivos de cumplimiento”.
- Guía CCN-STIC-802, “Esquema Nacional de Seguridad. Guía de auditoría”.
- Guía CCN-STIC-804, “Esquema Nacional de Seguridad. Guía de implantación”.
- Guía CCN-STIC- 808, “Verificación del cumplimiento de las medidas en el ENS”.
- Guía CCN-STIC-815, “Indicadores y métricas en el ENS”.
- Guía CCN-STIC-824, “Informe del Estado de Seguridad”.
- Norma UNE-EN ISO 19011:2012, “Directrices para la auditoría de los sistemas de gestión”.
- Otras guías de aplicabilidad y praxis del Esquema Nacional de Seguridad. Centro Criptológico Nacional.