Nell'attuazione di ISO27000 (ISO27001 e 27002) mi chiedo dove posso scaricare e rivedere lo standard? Vorrei iniziare a implementarlo ma sono un po 'perplesso su dove iniziare.
Alcuni siti offrono la vendita di alcuni PDF che presumibilmente includono le migliori pratiche sull'implementazione dello standard, ma al momento ho bisogno di rivedere lo standard e di esprimere le mie opinioni su come iniziare a implementarlo.
Il percorso ufficiale per la documentazione è tramite ISO: IEC - e le carte costano 134 franchi svizzeri ciascuna.
Vari enti hanno documenti di orientamento, ad esempio ISACA forniscono una gamma di materiali ISO27001 su argomenti come l'implementazione di ISMS, l'allineamento di Cobit, ITIL e ISO27001 - ma devi essere un membro ISACA (se necessario, chiedimi come: -)
In alternativa, puoi coinvolgere i consulenti per soddisfare le tue esigenze e acquisire una comprensione di ciò che potresti dover fare. Ad esempio, ho aiutato molte grandi organizzazioni ad allineare la loro funzione di sicurezza con ISO27001: 2005 - non per ottenere l'accreditamento, poiché spesso può essere un onere eccessivo costoso, ma per ottenere i vantaggi che offre un quadro di governance e sicurezza basato su ISO27001.
Tuttavia, puoi ottenere molte buone informazioni da alcune fonti gratuite:
27000 è gratuito, ma gli altri standard della famiglia costano, temo.
Possono essere acquistati come libro stampato o ebook direttamente dagli ISO e dagli stessi IEC, all'indirizzo link o da link
Di solito è disponibile anche dal tuo corpo standard dei paesi locali. Per la Norvegia che è Standards Norway, che puoi trovare su link
Potresti voler esaminare quanto segue:
A mia conoscenza, la maggior parte dei documenti standard ISO non è liberamente ottenibile e deve essere acquistata dallo store ISO ( link ) o dal membro ISO del proprio paese, ad es DIN in Germania. (Per un eventuale trucco per risparmiare denaro, vedi il mio commento qui sotto.)
Considerando l'enorme quantità implicata nel seguire lo standard ISO27001, specialmente se si arriva fino alla certificazione, tenderei a raccomandare di seguire una qualche forma di addestramento.
Alcuni dei corsi di formazione offerti (ma non tutti) forniranno la tua copia degli standard come parte della quota di formazione (cioè, paghi anche per questo, ma non è necessario contattare l'autorità degli standard locali te stesso).
Ovviamente, questo sarà più costoso rispetto all'acquisto dello standard, e forse preferirai almeno leggerlo da solo prima di decidere se davvero vuoi implementarlo, ma credo davvero che se lo vuoi fare implementalo, avrai bisogno di aiuto per farlo.
Detto questo, dipende in gran parte dall'obiettivo della tua azienda - se hai intenzione di ottenere la certificazione completa, chiedi all'azienda di inviarti immediatamente un corso per implementatore principale ISO27001 (tra l'altro, una delle clausole degli obblighi standard che la tua gestione dovrebbe impegnare risorse per l'implementazione e il mantenimento del tuo ISMS - ciò significa investire in te), ne varrà la pena.
Se stai solo considerando di implementare lo standard come strumento per migliorare la tua sicurezza, o semplicemente curioso, allora sì, forse solo leggerlo sarà un buon inizio.
Parte della risposta localizzata nel tempo:
Ovviamente, considerando quando hai chiesto, è probabile che tu abbia seguito la risposta di Rory e l'abbia già comprato - se è così , Sono curioso di sapere quali sono stati i tuoi prossimi passi. In particolare, la tua esperienza come iniziando con ISO27001 potrebbe rivelarsi inestimabile per gli altri inciampare su questa domanda; cosa hai fatto per iniziare, cosa consiglieresti e cosa no? Ricorda è ok per rispondere alla tua domanda .
Leggi altre domande sui tag iso27000