* Modifica - Le risposte fino ad ora stanno affermando che cos'è ISO 27K e non lo è. Ne siamo consapevoli, tuttavia la percezione di ISO 27K è diversa. Non abbiamo professionisti di infosec, quindi vogliamo solo sapere quali altre opzioni sono disponibili, indipendentemente dall'opinione soggettiva.
Esempio: (Regno Unito) Cyber Essentials Scheme. Ciò richiede l'implementazione di controlli di sicurezza IT essenziali di base, l'autovalutazione e la revisione esterna.
Una domanda simile è stata posta ma senza una risposta soddisfacente. Sfondo completo:
- Siamo un'azienda di circa 100 persone in alcune sedi globali.
- Siamo stati certificati esternamente per ISO 27001, abbiamo escluso solo un articolo dalla dichiarazione di applicabilità;
- Non abbiamo un professionista della sicurezza delle informazioni dedicato.
Siamo diventati piuttosto insoddisfatti dello standard ISO 27K per i seguenti motivi:
- I valutatori sono troppo concentrati sulla procedura e sulla documentazione piuttosto che sulla sicurezza effettiva
- Durante le visite esterne non è mai stato chiesto ad alcun consulente in merito alla sicurezza Web e IT effettiva
- Le infrazioni nella documentazione generano troppe scartoffie oltre a correggere eventuali problemi.
- Incoerenza nell'approccio da parte di valutatori in diversi paesi
- La quantità di tempo necessaria per mantenere lo standard diminuisce a causa dell'effettiva sicurezza informatica non richiesta dallo standard come la scansione delle vulnerabilità, la scansione delle porte, la crittografia ecc.
Siamo principalmente un'azienda britannica / statunitense. Vorremmo uno standard di sicurezza maggiormente incentrato sull'IT riconosciuto in quelle località. L'unico vero driver per il nostro standard ISO è il suo appeal e riconoscimento per i nostri clienti. Tutte le opinioni sono benvenute