Supponiamo che una piccola azienda abbia appena ottenuto un accreditamento ISO 27001. Cosa succede se durante uno degli audit viene rilevato che la società non ha seguito l'ISMS? Esiste un certo processo di allerta che la società deve affrontare? Fondamentalmente voglio sapere se ci sono casi in cui un accreditamento ISO 27001 viene ritirato e come?
Non sono riuscito a trovare nulla su questa particolare ISO 97001 sul sito Web ISO o su altri siti correlati. Ma ho visto che hai inserito un tag ISO 27000 e che hai citato ISMS, quindi suppongo che tu stia parlando della ISO 27001 che è Information Security Management System.
Normalmente, con tutte le certificazioni ISO, una volta accreditato il certificato, gli audit di sorveglianza programmati dovranno aver luogo. In caso di gravi carenze, l'auditor ti darà un certo tempo per intraprendere azioni correttive. Se, dopo un determinato periodo di tempo, non hai implementato correttamente tali azioni correttive o modificato i tuoi processi, è possibile / può essere emesso un certificato di revoca.
Il motivo principale per cui si implementa la ISO 27001 è la copertura dei rischi aziendali. Se vedi che hai la ISO 27001 ma che in realtà non ti preoccupi di usare i controlli definiti nel framework eccetto quando c'è un controllo, allora hai un serio problema di sicurezza nella tua azienda. Si noti inoltre che se si verifica un incidente grave e viene mostrato che i controlli definiti nel framework non sono stati seguiti, si è non coperti dal framework / certificato più.
Bene, non tutte le non conformità dovrebbero essere trattate allo stesso modo e questo è il motivo per cui ritengo che lo standard di sicurezza delle informazioni sia soggettivo.
Parlando degli scenari che possono (non necessariamente limitati) applicare qui:
HTH,
Leggi altre domande sui tag certificate-revocation iso27000