ISO 27001, Skype, CRM online ... compatibile? [duplicare]

1

La mia azienda è B2B, i nostri servizi includono l'hosting di dati sugli utenti dei nostri clienti.

Le leggi sulla protezione dei dati sono importanti per noi e dobbiamo osservarle attentamente, poiché i nostri clienti richiedono giustamente che i dati dei loro utenti siano al sicuro.

Stiamo cercando di ottenere la certificazione ISO 27001 per 2 motivi principali:

  1. Impegnati a seguire le regole e le metodologie che ci aiutano a mantenere tali dati sicuri

  2. Come strumento di vendita: in teoria se siamo certificati ISO 27001 i potenziali clienti si fidano di noi più facilmente i loro dati

Quindi ci sono 2 set di informazioni: i dati degli utenti dei nostri clienti, che è fondamentale per essere protetti, e altri dati, come il nostro database dei contatti, le nostre attività interne e il calendario e il calendario dei progetti, le presentazioni di vendita, ecc. che finora abbiamo creato principalmente tramite strumenti online come un CRM basato sul Web, Google Calendar e fogli di calcolo, EverNote, ecc.

Infine la mia domanda: la norma ISO 27001 deve coprire tutti i dati e le procedure in tutta l'azienda oppure può essere applicata solo ai dati degli utenti dei nostri clienti principali e più importanti e a tutto il resto (strumenti online come Google Calendar, un CRM online, Skype, Evernote ...) possiamo ancora utilizzare, a condizione che non pubblichiamo nessuno dei dati principali attraverso questi strumenti? Non ci è stato detto altro Skype o fogli di lavoro online, il CRM deve essere ospitato da noi, qualsiasi altro servizio basato sul Web come Evernote o simile è vietato. Il che è piuttosto scomodo perché in genere c'è poca scelta in termini di strumenti che puoi ospitare per avere il controllo assoluto sui dati.

    
posta Marc 09.12.2016 - 05:25
fonte

1 risposta

2

Chiunque abbia detto che non si può usare una tecnologia specifica a causa della ISO27001 probabilmente ha qualche altro interesse personale - forse anche solo pigrizia. Lo standard non impone ciò che puoi e non puoi fare. Definisce in modo efficace il modo in cui è necessario gestire i rischi e in che modo è necessario dimostrare di gestire i rischi.

Ci sono molte organizzazioni che sono conformi e che usano Office 365 o anche Google Work. Ancora più che hanno tutti i tipi di comunicazioni esterne da Skype a Slack, ecc.

Ciò che conta è avere un processo solido per identificare e riconoscere i rischi e mitigarli.

Un esempio specifico può aiutare. Sebbene non sia direttamente correlato alla ISO27001, nel Regno Unito ci sono molti medici che tengono consultazioni con il paziente su Skype. Ciò richiede una gestione dei rischi certificata ben oltre quella normalmente prevista dalla ISO27001 (si pensi all'equivalente britannico dell'HIPPA degli Stati Uniti).

    
risposta data 09.12.2016 - 09:13
fonte

Leggi altre domande sui tag