È necessario disporre di documentazioni sulla sicurezza, politiche, DRP e BCP al fine di eseguire una revisione architettonica della rete sicura?

2

Uno dei miei clienti ha audit ISO 27001 a sua disposizione e ha eseguito controlli. Nel frattempo, stanno prendendo servizi di sicurezza personalizzati dalla nostra azienda, dove in uno dei deliverable capita di essere Secure Network Architectural Review . Durante la disattivazione dei servizi forniti, non hanno informato in anticipo che non hanno avuto specifiche documentazioni sulla sicurezza, le politiche e il framework in atto per svolgere l'attività.

Per quanto mi riguarda, avrei avuto questi requisiti per eseguire il processo di analisi della rete SNA o Secure Network:

  1. Politica di sicurezza delle informazioni

  2. Norme sulla sicurezza della rete

    Criterio di sicurezza dell'applicazione

    Registro delle risorse informative & La classificazione aderisce alla CIA

    Standard password

    Controllo di accesso

  3. Disaster Recover Policy (DRP)

  4. Modifica criterio di gestione
  5. Business Continuity Plan (BCP)

Dato che stiamo per fornire loro garanzie di rischio per la sicurezza delle informazioni e hanno questi spazi mancanti, la mia domanda principale si riduce a poche parole chiave qui:

  1. È necessario avere questi documenti, politiche, DRP, BCP, ecc., costruiti da zero per rafforzare la sicurezza per portare a termine l'attività?
  2. La ISO 27001 richiede che tutti questi siano precedentemente lì? e se sì, in che modo erano ancora stati controllati in primo luogo, ma nessuna direzione aveva spinto in avanti le documentazioni, le politiche, ecc. mancanti?
  3. mancanti?
  4. Se dovessimo fornire seri rischi assicurativi, dovremmo fornire loro un altro servizio per creare questi documenti, politiche o saranno coperti insieme a SNA? (So che questo è un punto di vista esecutivo ma sono comunque necessarie opinioni generali)
posta Shritam Bhowmick 21.11.2015 - 03:43
fonte

1 risposta

1

Ho lavorato per un po 'alla professione di IT Audit / IT Security, e risponderò dalla mia esperienza professionale.

Is it necessary to have these documents, policies, DRP, BCP's etc built from the scratch to tighten up security to carry the task at hand?

Le norme che hai specificato nel tuo elenco sono una necessità di base per un programma di sicurezza IT ben funzionante. Porsi le seguenti domande:

  1. Come garantisci un metodo coerente e affidabile di amministrazione della tecnologia dell'informazione se non disponi di documentazione tangibile?
  2. Come ti aspetti che i dipendenti collaborino alla missione IT Security se non conoscono lo scopo, le politiche e il loro ruolo nel programma?
  3. È quasi scontato che a un certo punto si verificherà un guasto con le risorse IT di un'azienda. Senza un funzionamento e ben collaudato , BCP / DRP, come attenuerai la minaccia di continuità per l'azienda?

If we are to provide serious risk assurances, should we provide them another service to create these docs, policies or shall it be covered along with SNA?

Assolutamente no. Questo è un conflitto di interessi e sarebbe considerato non etico. Se offri questo servizio, il tuo giudizio professionale è Impaired e qualsiasi assicurazione successiva che fornisci a questo cliente è intrinsecamente inaffidabile. Si prega di consultare questo documento dell'ISACA per ulteriori indicazioni sull'indipendenza professionale della funzione di garanzia:

link

    
risposta data 26.06.2016 - 03:22
fonte