Mi è stato chiesto perché crediamo in organizzazioni che certificano ISO 27001? Da dove hanno ottenuto l'autorità e il riconoscimento per poter certificare ISO 27001?
Ad esempio, posso avviare un'attività di certificazione e certificare che un'azienda è conforme allo standard ISO 27001. Tuttavia, non sono riconosciuto per farlo, quindi la mia "carta firmata" sarebbe inutile. Tuttavia, se BSi lo certifica, non è inutile. Quindi, perché la certificazione BSi vale ma la mia no?
Società di certificazione come SGS , TÜV Rheinland o BSI sono accreditati da enti di accreditamento per emettere ISO 27001 certificati . Ad esempio, SGS e BSI sono accreditati da UKAS e TÜV Rheinland è accreditato da DAR .
Le entità di accreditamento eseguono audit delle società di certificazione che accreditano per garantire che siano conformi ai loro requisiti di accreditamento che utilizzano per includere standard come ISO 19011. Se non sono conformi, il loro accreditamento può essere rimosso.
Chi accredita le società di accreditamento? Come altri hanno già detto, alla fine esiste la convenzione per fidarsi delle entità di accreditamento e del sistema che hanno sviluppato.
Credi in ISO / IEC 27001? Accettate che un'azienda che implementa e mantiene un sistema di gestione basato su ISO / IEC 27001 avrà efficaci processi di gestione della sicurezza delle informazioni?
Se non lo fai, è inutile preoccuparsi di come possiamo fidarci degli organismi di certificazione, come BSI. Un sacco di gente non capisce lo standard in primo luogo - pensando che sia tutto basato sull'IT, o che se c'è un grave incidente di sicurezza lo standard, o l'ente di certificazione, in qualche modo ha fallito.
In effetti, il problema più grande, a mio avviso, sta nell'implementazione e attorno all'ambito inappropriato dell'ISMS, più comunemente l'inclusione del dipartimento IT a scapito di tutto il resto chiamato "business reale"! Una vera ricetta per perdere tempo e denaro e uno spero che si incontrerà meno con il rilascio della versione 2013 dello standard.
In altre parole, avere la certificazione ISO / IEC 27001 non significa avere una buona sicurezza delle informazioni, poiché ciò dipenderà da molti fattori. Ciò che significa è che l'organizzazione ha stabilito un ISMS, sta implementando e mantenendo tale ISMS e che l'ISMS è rivisto e migliorato in modo continuo. Il ruolo del revisore è principalmente quello di 1) verificare la conformità ai requisiti e 2) valutare l'efficacia dell'ISMS, cioè raggiungere coerentemente i propri obiettivi politici.
Nella certificazione, state mettendo la vostra fiducia nelle capacità dei singoli revisori che effettuano gli audit per conto dell'organismo di certificazione. Se due revisori diversi e competenti pianificano e conducono lo stesso audit, entrambi emergeranno con risultati diversi. Per avere fiducia in questo processo, devi anche capire come funziona, il suo valore e le sue debolezze.
Come accennato in precedenza, gli organismi di accreditamento nazionali come UKAS contribuiscono a darci quella fiducia controllando gli organismi di certificazione, essenzialmente per nostro conto, e rimuovendo l'accreditamento se l'organismo di certificazione non soddisfa i propri requisiti di gestione del sistema e si conforma agli standard come ISO / IEC 17021 (Requisiti di valutazione della conformità) - che, ad esempio, richiede che gli organismi di certificazione ed i loro revisori siano indipendenti nell'esecuzione dell'audit. Quante società di certificazione vedi che forniscono anche servizi di consulenza? La consulenza e il controllo sono due opposti completi e inviteranno pregiudizi nei risultati del controllo. Le società accreditate come BSI non sono autorizzate a fornire servizi di consulenza.
Un altro requisito importante è che gli organismi di certificazione debbano disporre di processi efficaci per la selezione e la formazione di auditor che assicurino la competenza necessaria - molto importante come ho detto dal momento che siamo sottoposti a verifica da parte di persone e sono tutti diversi. I buoni organismi di certificazione garantiranno la coerenza il più possibile e uno standard elevato.
Quindi, per rispondere alla domanda, abbiamo fiducia negli organismi di certificazione "accreditati" perché comprendiamo che sono monitorati da una terza parte competente e indipendente e devono mantenere determinati standard per rimanere accreditati.
Ci sono organismi di certificazione buoni e cattivi? Ci sono auditor buoni e cattivi? SÌ ad entrambi! Il suo grigio, e come accennato in precedenza da un altro poster, è una convenzione di fiducia. In definitiva, penso che sia la reputazione dell'ente di certificazione che stiamo cercando quella fiducia ed è la ragione principale per cui il certificato (op) del poster originale è percepito come privo di valore rispetto al certificato dell'organizzazione di certificazione conosciuta.
Ancora una nota su questo punto, non esiste un "requisito" per la certificazione nello standard. È una scelta che una società fa [per lo più] esteriormente costruendo la fiducia che sono impegnati nel processo - perché l'ho chiesto all'inizio, credi nel processo?
Allo stesso modo, chiunque (io, tu e l'op) può condurre e certificare che un'azienda è conforme allo standard ISO / IEC 27001, non c'è niente di sbagliato in questo, a seconda dei benefici che l'organizzazione sta cercando. Certamente, un certificato "non accreditato" dall'op non avrà molto peso nella visione della comunità, ma si tenga presente che tutto si riduce all'auditor, e non vi è alcun motivo per cui l'op o chiunque altro non possa essere sufficientemente competente ed esperto nella conduzione di audit ISO / IEC 27001 ed essere in grado di fornire un grande valore ad un cliente di revisione fornendo un'opinione indipendente.
Perché crediamo nelle organizzazioni che certificano ISO / IEC 27001? Forse per gli stessi motivi abbiamo fiducia nelle Autorità di certificazione SSL - Reputazione.
Solo un parere ..
In fin dei conti si tratta di fiducia. Chi si fida della revisione contabile con ISO27001?
Nel caso di BSi, si sono stabiliti come parte del processo (in effetti BS7799, che era uno standard sviluppato da BSi, precedeva che ISO27001 e IIRC si fossero efficacemente trasformati in ISO27001 quando fu creato).
Quindi, come parte della creazione di uno standard, devi creare e gestire un processo di audit per gestire la certificazione, così sono stati / sono considerati affidabili da gruppi come il governo del Regno Unito.
In teoria chiunque può presentare il proprio standard di conformità di sicurezza basato su ISO27001, ma il problema è "perché ti fideresti di loro?"
L'ISO27001 è uno standard rispetto al quale viene controllata un'azienda. Non è un pen-test o una revisione del codice, si concentra principalmente sulla gestione, sulle politiche, ecc. È una terza parte che fornisce ragionevole garanzia circa l'efficacia operativa, i controlli, ecc. Dell'azienda. per esempio. se un'org è stata certificata, avresti comunque contratti legali, contratti, ecc. per gestire il rischio. La fiducia non è la stessa garanzia.
L'organizzazione che vuole essere certificata sceglie anche chi li controllerà. Potrebbero assumere la società di startup senza nome di qualcuno, ma in genere assumeranno un marchio che ha fiducia e rispetto nel mercato per qualunque che valga. Le società di revisione e certificazione hanno reputazione. Se richiedi la certificazione del tuo fornitore, puoi dirgli di utilizzare un elenco di fornitori approvato o di dire che non ci faremo caso al tuo cert perché non abbiamo motivo di avere fiducia o fiducia nella terza parte che ha fatto la recensione. La terza parte che fa la certificazione può anche verificare le credenziali, ad es. Auditor principale ISO / IEC 27001 .
Il punto di qualsiasi tipo di revisione di terze parti (SOC1 / SSAE16, SOC2, ISO27001, ecc.) è di ottenere qualche ragionevole garanzia a un costo inferiore, quindi di effettuare una verifica completa per conto proprio. L'organizzazione può essere rivista una volta da una terza parte fidata utilizzando criteri comuni, altrimenti ogni cliente dovrebbe controllare o revisionare l'azienda in modo indipendente: questo fa perdere tempo all'azienda ed è probabilmente molto più costoso per il cliente. C'è nessun requisito per fidarsi della certificazione ISO27001 di qualcuno. Se è così importante, puoi sempre negoziare per avere la tua recensione indipendente eseguita utilizzando i tuoi criteri.
Leggi altre domande sui tag corporate-policy compliance iso27001