Quale alternativa standard alla ISO 27001 può essere utilizzata per una piccola impresa?

2

L'attività in questione ha requisiti elevati per la sicurezza delle informazioni a causa della natura sensibile del loro lavoro. La società ha 5 dipendenti e lavora di volta in volta con consulenti. Esiste un altro standard di sicurezza delle informazioni che può essere utilizzato al posto di ISO 27001 per un'azienda di queste dimensioni?

    
posta Bestdeb 21.02.2017 - 16:47
fonte

4 risposte

5

"OK, we can't achieve this standard, so let's look for a standard that we can achieve without much work"

è praticamente l'opposto di una mentalità di un'organizzazione consapevole della sicurezza, anche se sarei d'accordo (dopo 5 minuti di lezione) con la presunzione che 27001 potrebbe essere un po 'troppo lavoro - ma poi dovrai semplicemente vivere senza quella certificazione.

Invece di cercare una certificazione arbitraria adatta alla tua organizzazione, potresti semplicemente voler esaminare lo standard e applicare il più possibile all'organizzazione di 5 persone. Una certificazione non vale niente, per essere onesti, dal punto di vista della sicurezza, ma ti costerà un sacco di soldi. In realtà aderire a pratiche sensibili praticamente si ripaga da solo.

    
risposta data 21.02.2017 - 17:24
fonte
1

La domanda principale è se stai mirando a una certificazione di qualsiasi tipo.

Se la certificazione è non il tuo obiettivo, puoi semplicemente scegliere ISO27001 e avvicinarlo come un framework che scegli & scegli da. Applicare l'approccio basato sul rischio della SOA in modo aggressivo ed escludere tutti i controlli che non affrontano un rischio grave.

Se vuoi per ottenere una certificazione, ti consiglio di chiedere ai tuoi certificatori locali. Non hai incluso un paese nella tua domanda, il che rende difficile puntare ovunque. So che in Europa, diverse organizzazioni di test offrono anche certificazioni personalizzate e dovresti riuscire a trovare qualcosa tra quelle. Saranno felici di aiutarti a scegliere quello giusto, ne sono sicuro.

    
risposta data 21.03.2018 - 13:51
fonte
1

È possibile implementare ISO 27001 per qualsiasi dimensione dell'organizzazione, purché si desideri creare un sistema di processi per proteggere le informazioni.

Nel tuo caso, la documentazione sarà probabilmente minima (un documento contenente criteri e procedure, con SoA incorporato e un registro dei rischi).

ISO non ti chiede mai una documentazione enorme.

    
risposta data 05.04.2018 - 10:17
fonte
0

Potresti utilizzare il NIST CyberSecurity Framework

Essendo un framework, è flessibile, semplice da comprendere e misurare e misurare l'aderenza sarebbe un passo eccellente in qualsiasi programma di sicurezza delle informazioni.

Se vuoi approfondire più dettagli per aumentare la maturità dopo aver completato quanto sopra, puoi guardare ai controlli di sicurezza e privacy di NIST per i sistemi informativi e le organizzazioni federali (vedi link ).

    
risposta data 21.03.2018 - 16:30
fonte

Leggi altre domande sui tag