L'attività in questione ha requisiti elevati per la sicurezza delle informazioni a causa della natura sensibile del loro lavoro. La società ha 5 dipendenti e lavora di volta in volta con consulenti. Esiste un altro standard di sicurezza delle informazioni che può essere utilizzato al posto di ISO 27001 per un'azienda di queste dimensioni?
"OK, we can't achieve this standard, so let's look for a standard that we can achieve without much work"
è praticamente l'opposto di una mentalità di un'organizzazione consapevole della sicurezza, anche se sarei d'accordo (dopo 5 minuti di lezione) con la presunzione che 27001 potrebbe essere un po 'troppo lavoro - ma poi dovrai semplicemente vivere senza quella certificazione.
Invece di cercare una certificazione arbitraria adatta alla tua organizzazione, potresti semplicemente voler esaminare lo standard e applicare il più possibile all'organizzazione di 5 persone. Una certificazione non vale niente, per essere onesti, dal punto di vista della sicurezza, ma ti costerà un sacco di soldi. In realtà aderire a pratiche sensibili praticamente si ripaga da solo.
La domanda principale è se stai mirando a una certificazione di qualsiasi tipo.
Se la certificazione è non il tuo obiettivo, puoi semplicemente scegliere ISO27001 e avvicinarlo come un framework che scegli & scegli da. Applicare l'approccio basato sul rischio della SOA in modo aggressivo ed escludere tutti i controlli che non affrontano un rischio grave.
Se vuoi per ottenere una certificazione, ti consiglio di chiedere ai tuoi certificatori locali. Non hai incluso un paese nella tua domanda, il che rende difficile puntare ovunque. So che in Europa, diverse organizzazioni di test offrono anche certificazioni personalizzate e dovresti riuscire a trovare qualcosa tra quelle. Saranno felici di aiutarti a scegliere quello giusto, ne sono sicuro.
È possibile implementare ISO 27001 per qualsiasi dimensione dell'organizzazione, purché si desideri creare un sistema di processi per proteggere le informazioni.
Nel tuo caso, la documentazione sarà probabilmente minima (un documento contenente criteri e procedure, con SoA incorporato e un registro dei rischi).
ISO non ti chiede mai una documentazione enorme.
Potresti utilizzare il NIST CyberSecurity Framework
Essendo un framework, è flessibile, semplice da comprendere e misurare e misurare l'aderenza sarebbe un passo eccellente in qualsiasi programma di sicurezza delle informazioni.
Se vuoi approfondire più dettagli per aumentare la maturità dopo aver completato quanto sopra, puoi guardare ai controlli di sicurezza e privacy di NIST per i sistemi informativi e le organizzazioni federali (vedi link ).
Leggi altre domande sui tag business-risk iso27001