ISO 27001: domande di certificazione 2013

6

Consigli / opinioni apprezzate.

  1. In definitiva, la nostra azienda vorrebbe ottenere la certificazione ISO27001: 2013, ma non è così. Nel frattempo, vogliamo essere in grado di arrivare al punto in cui possiamo "attestare" la conformità (simile al PCI DSS AOC). Esiste un tale meccanismo per ISO27001: 2013? È possibile ottenere un auditor di terze parti per confermare "i progressi verso la conformità" o una terza parte certificare solo in base a un audit che stabilisce la piena conformità?

  2. La nostra azienda è effettivamente suddivisa in 2 unità aziendali all'interno della stessa struttura aziendale. Prevediamo che le possibilità di conformità esisteranno quasi interamente in una di queste unità. Se presentassimo tale ambito a un revisore contabile di terze parti, ma il revisore riteneva che l'ambito non fosse sufficientemente ampio per affrontare completamente il rischio di sicurezza delle informazioni all'interno dell'azienda, il revisore avrebbe probabilmente accettato la certificazione?

    In altre parole, un auditor di terze parti certificherà sempre a livello aziendale o è in grado di certificare determinate funzioni all'interno di una struttura aziendale?

posta Garreth McDaid 28.01.2016 - 11:56
fonte

2 risposte

3
  1. La certificazione da parte degli enti di accreditamento si verifica solo se si è effettivamente conformi nell'ambito che si è impostato per la propria azienda. È possibile richiedere agli auditor ISO27001 di eseguire una valutazione del gap e lo stato corrente e possono fare raccomandazioni di livello basso o alto per migliorare il proprio ISMS o assistere all'implementazione. Tieni presente che, a seconda della quantità di consigli che ti è stata data, potrebbe non essere più autorizzato a svolgere la verifica (non ti è permesso di controllare il tuo lavoro).
  2. Il certificato indica ciò che si sta rispettando e qual è l'ambito della certificazione. Pertanto, se non è possibile indicare ai propri clienti che si è conformi a ISO27001 per l'intera azienda. Sei solo conforme per quella particolare unità aziendale all'interno della tua organizzazione.

Possono certificare determinate parti della tua azienda a seconda del tuo ambito. Diciamo che si desidera, ad esempio, solo certificare i propri data center, quindi è possibile, ma sarà anche chiaramente indicato per quanto riguarda il certificato.

    
risposta data 28.01.2016 - 12:21
fonte
1
  1. Sì, è possibile. Ad esempio, ho diversi clienti che hanno utilizzato un rapporto di assicurazione come ISAE 3000 per avere una certa garanzia sul loro allineamento con lo standard ISO 27001. Ma nota che questa non è una certificazione.

  2. L'ambito sarà tra le prime cose a cui il tuo auditor guarderà. Se pensano che lo scope non sia adeguato, lo segnaleranno immediatamente e scoprirai come affrontare insieme il problema probabilmente.

In other words, will a 3rd party auditor only ever certify at corporate level, or are they amenable to certify particular functions within a corporate structure

L'auditor può certificare una particolare funzione, unità aziendale o processo aziendale. Dipende davvero dalla tua azienda, dal tuo profilo di rischio ecc.

In ogni caso, il mio consiglio è di avere quella discussione con i tuoi auditori in questo momento per assicurarti di essere sulla strada giusta.

    
risposta data 28.01.2016 - 14:33
fonte

Leggi altre domande sui tag