Documentazione per la valutazione del rischio nella struttura ISO 27001

1

Attualmente stiamo implementando la ISO27001, ho una domanda riguardante la documentazione della valutazione del rischio.

Abbiamo scelto EBIOS come metodo di valutazione del rischio e ho trovato alcuni modelli dei documenti obbligatori nella ISO 27001 contesto e nel contesto EBIOS, sono molto diversi l'uno dall'altro.

La mia domanda è: devo produrre due tipi di documenti anche se hanno lo stesso contenuto, oppure i documenti EBIOS sono sufficienti in questa situazione?

    
posta Farid-tsl 21.03.2017 - 10:41
fonte

1 risposta

1

Per soddisfare questo aspetto del capitolo 6 nella norma, devi documentare che hai un modo oggettivo per valutare il rischio e quale metodo scegli di farlo. I risultati della valutazione del rischio dovrebbero essere riproducibili (cioè se faccio una valutazione del rischio e tu esegui una valutazione del rischio dello stesso processo, dobbiamo finire con lo stesso "punteggio" di rischio).

Quale metodo usi e come lo documenti, a un auditor non interessa. Finché ottieni ciò che ho descritto sopra e puoi spiegare perché quel metodo specifico è adeguato per la tua organizzazione.

    
risposta data 21.03.2017 - 12:07
fonte

Leggi altre domande sui tag