Uno dei miei clienti ha audit ISO 27001 a sua disposizione e ha eseguito controlli. Nel frattempo, stanno prendendo servizi di sicurezza personalizzati dalla nostra azienda, dove in uno dei deliverable capita di essere Secure Network Architectural Review . Durante la disattivazione dei servizi forniti, non hanno informato in anticipo che non hanno avuto specifiche documentazioni sulla sicurezza, le politiche e il framework in atto per svolgere l'attività.
Per quanto mi riguarda, avrei avuto questi requisiti per eseguire il processo di analisi della rete SNA o Secure Network:
-
Politica di sicurezza delle informazioni
-
Norme sulla sicurezza della rete
Criterio di sicurezza dell'applicazione
Registro delle risorse informative & La classificazione aderisce alla CIA
Standard password
Controllo di accesso
-
Disaster Recover Policy (DRP)
- Modifica criterio di gestione
- Business Continuity Plan (BCP)
Dato che stiamo per fornire loro garanzie di rischio per la sicurezza delle informazioni e hanno questi spazi mancanti, la mia domanda principale si riduce a poche parole chiave qui:
- È necessario avere questi documenti, politiche, DRP, BCP, ecc., costruiti da zero per rafforzare la sicurezza per portare a termine l'attività?
- La ISO 27001 richiede che tutti questi siano precedentemente lì? e se sì, in che modo erano ancora stati controllati in primo luogo, ma nessuna direzione aveva spinto in avanti le documentazioni, le politiche, ecc. mancanti? mancanti?
- Se dovessimo fornire seri rischi assicurativi, dovremmo fornire loro un altro servizio per creare questi documenti, politiche o saranno coperti insieme a SNA? (So che questo è un punto di vista esecutivo ma sono comunque necessarie opinioni generali)