Vorrei chiedere se è efficiente e corretto progettare l'ISS ISO 27001 per un'azienda / organizzazione che non è ancora in modalità pienamente operativa - ad es. la loro architettura online del loro sistema non è ancora finalizzata e subisce diverse modifiche su base settimanale.
Comprendo che, come parte della valutazione del rischio, è necessario condurre un esercizio di test di penetrazione e se il sistema non è definitivo, non si intende eseguire un test di penetrazione. Tuttavia, è possibile implementare altri controlli di sicurezza non tecnici.