Credi in ISO / IEC 27001? Accettate che un'azienda che implementa e mantiene un sistema di gestione basato su ISO / IEC 27001 avrà efficaci processi di gestione della sicurezza delle informazioni?
Se non lo fai, è inutile preoccuparsi di come possiamo fidarci degli organismi di certificazione, come BSI. Un sacco di gente non capisce lo standard in primo luogo - pensando che sia tutto basato sull'IT, o che se c'è un grave incidente di sicurezza lo standard, o l'ente di certificazione, in qualche modo ha fallito.
In effetti, il problema più grande, a mio avviso, sta nell'implementazione e attorno all'ambito inappropriato dell'ISMS, più comunemente l'inclusione del dipartimento IT a scapito di tutto il resto chiamato "business reale"! Una vera ricetta per perdere tempo e denaro e uno spero che si incontrerà meno con il rilascio della versione 2013 dello standard.
In altre parole, avere la certificazione ISO / IEC 27001 non significa avere una buona sicurezza delle informazioni, poiché ciò dipenderà da molti fattori. Ciò che significa è che l'organizzazione ha stabilito un ISMS, sta implementando e mantenendo tale ISMS e che l'ISMS è rivisto e migliorato in modo continuo. Il ruolo del revisore è principalmente quello di 1) verificare la conformità ai requisiti e 2) valutare l'efficacia dell'ISMS, cioè raggiungere coerentemente i propri obiettivi politici.
Nella certificazione, state mettendo la vostra fiducia nelle capacità dei singoli revisori che effettuano gli audit per conto dell'organismo di certificazione. Se due revisori diversi e competenti pianificano e conducono lo stesso audit, entrambi emergeranno con risultati diversi. Per avere fiducia in questo processo, devi anche capire come funziona, il suo valore e le sue debolezze.
Come accennato in precedenza, gli organismi di accreditamento nazionali come UKAS contribuiscono a darci quella fiducia controllando gli organismi di certificazione, essenzialmente per nostro conto, e rimuovendo l'accreditamento se l'organismo di certificazione non soddisfa i propri requisiti di gestione del sistema e si conforma agli standard come ISO / IEC 17021 (Requisiti di valutazione della conformità) - che, ad esempio, richiede che gli organismi di certificazione ed i loro revisori siano indipendenti nell'esecuzione dell'audit. Quante società di certificazione vedi che forniscono anche servizi di consulenza? La consulenza e il controllo sono due opposti completi e inviteranno pregiudizi nei risultati del controllo. Le società accreditate come BSI non sono autorizzate a fornire servizi di consulenza.
Un altro requisito importante è che gli organismi di certificazione debbano disporre di processi efficaci per la selezione e la formazione di auditor che assicurino la competenza necessaria - molto importante come ho detto dal momento che siamo sottoposti a verifica da parte di persone e sono tutti diversi. I buoni organismi di certificazione garantiranno la coerenza il più possibile e uno standard elevato.
Quindi, per rispondere alla domanda, abbiamo fiducia negli organismi di certificazione "accreditati" perché comprendiamo che sono monitorati da una terza parte competente e indipendente e devono mantenere determinati standard per rimanere accreditati.
Ci sono organismi di certificazione buoni e cattivi? Ci sono auditor buoni e cattivi? SÌ ad entrambi! Il suo grigio, e come accennato in precedenza da un altro poster, è una convenzione di fiducia. In definitiva, penso che sia la reputazione dell'ente di certificazione che stiamo cercando quella fiducia ed è la ragione principale per cui il certificato (op) del poster originale è percepito come privo di valore rispetto al certificato dell'organizzazione di certificazione conosciuta.
Ancora una nota su questo punto, non esiste un "requisito" per la certificazione nello standard. È una scelta che una società fa [per lo più] esteriormente costruendo la fiducia che sono impegnati nel processo - perché l'ho chiesto all'inizio, credi nel processo?
Allo stesso modo, chiunque (io, tu e l'op) può condurre e certificare che un'azienda è conforme allo standard ISO / IEC 27001, non c'è niente di sbagliato in questo, a seconda dei benefici che l'organizzazione sta cercando. Certamente, un certificato "non accreditato" dall'op non avrà molto peso nella visione della comunità, ma si tenga presente che tutto si riduce all'auditor, e non vi è alcun motivo per cui l'op o chiunque altro non possa essere sufficientemente competente ed esperto nella conduzione di audit ISO / IEC 27001 ed essere in grado di fornire un grande valore ad un cliente di revisione fornendo un'opinione indipendente.
Perché crediamo nelle organizzazioni che certificano ISO / IEC 27001? Forse per gli stessi motivi abbiamo fiducia nelle Autorità di certificazione SSL - Reputazione.
Solo un parere ..