Scansione di documenti e ISO-27001

3

Stiamo pianificando di presentare un progetto ai nostri dirigenti sulla scansione di tutti i nostri documenti d'ufficio e sulla gestione di documenti PDF anziché in formato fisico.

Per fare questo, stiamo cercando qualche supporto, se ce n'è uno, per affermare che la scansione di documenti è una buona pratica che è allineata alle politiche ISO / IEC-27001.

Sappiamo che lo scopo principale di un ISMS, basato sui requisiti ISO / IEC 27001, è ridurre il rischio di perdere informazioni o accessi non autorizzati.

Tuttavia, pensi che potremmo allineare l'attività di scansione dei documenti con le raccomandazioni ISO / IEC 27001?

Pensavamo che ottenere file PDF riducesse il rischio di perdere documenti in formato fisico, perché le procedure di backup dei file sono più sicure rispetto alla protezione dei documenti.

    
posta Delmonte 31.10.2014 - 17:02
fonte

2 risposte

3

In teoria è del tutto possibile che la digitalizzazione di documenti cartacei possa migliorare la loro sicurezza generale, ma dipende dalle specifiche e da quanto ben protetto / controllato è l'ambiente corrente, e se sarà migliorato una volta che il nuovo progetto sarà stato implementato.

Se stai cercando di fare questo caso, potresti vedere il registro dei rischi attuali della tua organizzazione per vedere se c'è qualcosa che riguarda lo stoccaggio e la gestione dei documenti fisici e quindi valutare se il tuo progetto affronterà questi rischi. Se così fosse, potresti facilmente affermare che il progetto è in linea con gli obiettivi di ISO27001.

Ovviamente potrebbe essere un po 'falso in quanto non tiene conto dei nuovi rischi introdotti dal progetto, ma si spera che ne avremo già sotto controllo nel registro dei rischi del progetto.

    
risposta data 31.10.2014 - 20:32
fonte
0

Il punto in cui si desidera allineare sarà principalmente con il sistema di gestione della sicurezza delle informazioni:

  • Dichiarazione di applicabilità: ci sono ulteriori requisiti legali / normativi e obblighi contrattuali delle parti interessate nell'ambito del vostro ISMS (ad esempio la memorizzazione elettronica di determinati dati di titolari di carta non è conforme ai requisiti PCI DSS, un accordo contrattuale con il cliente afferma che i dati non dovrebbe essere duplicato senza il loro permesso).
  • Valutazione / trattamento del rischio: (c'è un rischio maggiore, inaccettabile per la CIA se si memorizzano / trasmettono / divulgano informazioni elettronicamente o tramite copia cartacea)
  • Business Continuity: (in che modo l'archiviazione delle informazioni in un modo o nell'altro influisce sulla capacità di gestire le funzioni aziendali critiche se il supporto non è disponibile)

La vostra dichiarazione di applicabilità ISMS probabilmente dovrebbe già includere i controlli di Media Handling (A.8), controllo di accesso (A.9) e crittografia (A.10) che includeranno le informazioni in formato sia fisico che elettronico.

    
risposta data 22.04.2015 - 10:32
fonte

Leggi altre domande sui tag