Qui passo in merito alla ISO / IEC 27001 perché ne so qualcosa. Conosco anche COBIT ma generalmente lo ignoro nel mio lavoro, quindi non ne parlerò molto e lo lascerò a qualcuno che ne sa molto di più: -
ISO / IEC 27001 può essere un impegno importante ma dipende da molti fattori. Fondamentalmente richiede il supporto del top management per un sistema di gestione della sicurezza delle informazioni (ISMS) in tutta l'organizzazione, quindi può essere un'impresa importante se si è un'organizzazione grande o geograficamente dispersa, ad esempio. Riguarda una struttura e dei processi di gestione e il modo in cui la si implementa dipenderà da cosa esattamente si sta cercando di ottenere. In breve, lo standard di gestione dei rischi aziendali è incentrato sulla conservazione della riservatezza, dell'integrità e della disponibilità delle informazioni aziendali.
Se attualmente non c'è nessuno nell'azienda che capisca questo standard o i "sistemi di gestione" in generale, suggerirei di prendere un po 'd'aiuto o almeno di seguire un corso di formazione.
Probabilmente i migliori corsi di formazione di cui sono a conoscenza sono quelli offerti da BSI. Offrono vari corsi, ma ti suggerisco di partecipare per la prima volta ad una "Introduzione" di un giorno e di seguire i corsi "Implementazione" o "Responsabile dell'implementazione". I corsi di implementazione ti guideranno attraverso i passaggi principali di un progetto tipico.
Esistono anche le certificazioni PECB, ma a mio parere, questi corsi sono per lo più slide show (teoria - russare) con un po 'di interazione, mentre i corsi BSI sono molto interattivi e pratici. Divulgazione completa: ho fornito corsi di formazione per PECB e BSI.
Se stai assumendo un consulente, cerca queste qualifiche insieme alla qualifica di Lead Auditor ISO / IEC 27001. Guarda anche il CV del consulente. Questo non è uno standard IT o tecnico e consulenti che guardano le cose solo da questa prospettiva spesso non "capiscono". Cerca una vasta esperienza in altri settori della sicurezza, come la sicurezza fisica e l'esperienza in generale con i "sistemi di gestione", la "gestione del rischio" e le discipline aziendali.
Cose da tenere a mente: 27001 non è uno standard tecnico ed è normalmente una cosa negativa se si tenta di farlo solo in un ambiente IT (ISO / IEC 20000-1 sarebbe appropriato se questa è l'intenzione) . La registrazione / certificazione stessa è per l'organizzazione e incorrerà in costi di audit in corso (gli audit sono condotti da organismi esterni di controllo di terze parti).
Si noti inoltre che la versione 2005 dello standard è ora obsoleta e la nuova versione è il 2013. Questa è la versione che è necessario implementare e certificare contro (se è richiesta la certificazione / registrazione).
Il mio primo suggerimento, e il più economico, è che acquisti lo standard da ISO. org , scarica e leggi lo standard. Vuoi dare un'occhiata alle clausole da 4 a 10, che forniscono tutti i requisiti che devi soddisfare.
COBIT e ISO / IEC 27001 vivranno insieme in perfetta armonia. Non c'è contraddizione e avrai vantaggi in molti modi implementando entrambi, se fatto correttamente. ISO / IEC 27001 ti darà un grande ombrello, COBIT ti fornirà alcune specifiche relative all'IT che rientreranno in tale ambito.
Buona fortuna!