Consigli / opinioni apprezzate.
-
In definitiva, la nostra azienda vorrebbe ottenere la certificazione ISO27001: 2013, ma non è così. Nel frattempo, vogliamo essere in grado di arrivare al punto in cui possiamo "attestare" la conformità (simile al PCI DSS AOC). Esiste un tale meccanismo per ISO27001: 2013? È possibile ottenere un auditor di terze parti per confermare "i progressi verso la conformità" o una terza parte certificare solo in base a un audit che stabilisce la piena conformità?
-
La nostra azienda è effettivamente suddivisa in 2 unità aziendali all'interno della stessa struttura aziendale. Prevediamo che le possibilità di conformità esisteranno quasi interamente in una di queste unità. Se presentassimo tale ambito a un revisore contabile di terze parti, ma il revisore riteneva che l'ambito non fosse sufficientemente ampio per affrontare completamente il rischio di sicurezza delle informazioni all'interno dell'azienda, il revisore avrebbe probabilmente accettato la certificazione?
In altre parole, un auditor di terze parti certificherà sempre a livello aziendale o è in grado di certificare determinate funzioni all'interno di una struttura aziendale?