Attualmente stiamo implementando la ISO27001, ho una domanda riguardante la documentazione della valutazione del rischio.
Abbiamo scelto EBIOS come metodo di valutazione del rischio e ho trovato alcuni modelli dei documenti obbligatori nella ISO 27001 contesto e nel contesto EBIOS, sono molto diversi l'uno dall'altro.
La mia domanda è: devo produrre due tipi di documenti anche se hanno lo stesso contenuto, oppure i documenti EBIOS sono sufficienti in questa situazione?