Sto cercando degli standard specifici che si applicano al controllo degli accessi fisici per gli uffici di Information Security. Per farla breve, il nostro responsabile di un edificio vuole un concetto di ufficio aperto e, al fine di discuterne, il mio capo vuole degli standard specifici. Dobbiamo soddisfare i requisiti NIST e PCI, ma modelliamo anche la nostra politica aziendale da COBIT.
Non esiste uno standard fisso, ma ci sono molte pratiche consigliate ("migliori"). Il principio fondamentale di ISO 27001 o framework simili, incluso COBIT, è che la tua organizzazione implementa, monitora e migliora la tua politica organizzativa. Se il tuo capo può impostare la politica di sicurezza e dichiara che gli uffici aperti sono inappropriati per lo spazio di lavoro del team di sicurezza delle informazioni, allora ciò potrebbe essere sufficiente. Questo è il tuo percorso più breve da "qui" a "lì".
In realtà, ciò dipenderà dal profilo di rischio della tua organizzazione e dalla natura del lavoro del tuo team. Ho lavorato su alcuni team in cui un piano di uffici aperti era assolutamente fuori questione e altri in cui non solo non era un problema, ma quasi un requisito per il funzionamento di tale team nell'organizzazione. YMWV.
Leggi altre domande sui tag standards physical physical-access