Attualmente stiamo implementando la ISO27001, ho una domanda riguardante la documentazione della valutazione del rischio.
Abbiamo scelto EBIOS come metodo di valutazione del rischio e ho trovato alcuni modelli dei documenti obbligatori nella ISO 27001 contesto e nel contesto EBIOS, sono molto diversi l'uno dall'altro.
La mia domanda è: devo produrre due tipi di documenti anche se hanno lo stesso contenuto, oppure i documenti EBIOS sono sufficienti in questa situazione?
Per soddisfare questo aspetto del capitolo 6 nella norma, devi documentare che hai un modo oggettivo per valutare il rischio e quale metodo scegli di farlo. I risultati della valutazione del rischio dovrebbero essere riproducibili (cioè se faccio una valutazione del rischio e tu esegui una valutazione del rischio dello stesso processo, dobbiamo finire con lo stesso "punteggio" di rischio).
Quale metodo usi e come lo documenti, a un auditor non interessa. Finché ottieni ciò che ho descritto sopra e puoi spiegare perché quel metodo specifico è adeguato per la tua organizzazione.
Leggi altre domande sui tag risk-management iso27001