Vorrei applicare le best practice ISO 27001 per un'azienda che non ha ancora completato la sua architettura online finale ed è ancora in fase di sviluppo. Tuttavia, sanno praticamente quali tecnologie / sistemi (principalmente su cloud) devono essere utilizzati, ma le connessioni tra più parti non sono finalizzate, così come diverse implementazioni relative alla sicurezza come WAF ecc. Basta notare che tutto è su cloud ospitato da un provider cloud che è già certificato ISO27001 per tutti i servizi che fornisce.
La domanda è che se è corretto applicare la metodologia di rischio basata sulle vulnerabilità delle risorse-vulnerabilità e completare i documenti richiesti come suggerito da diversi toolkit ISO27001. Questa metodologia è ancora valida per ISO 27001 ed è semplice da applicare, ma ovviamente sarà completamente qualitativa, nel senso che nessun test di penetrazione può essere applicato per scoprire potenziali vulnerabilità tecniche e lo sviluppo non è definitivo per eseguire codice recensioni. Inoltre, questa metodologia di rischio si basa sull'inventario delle risorse che subisce modifiche giornaliere.
Va bene procedere in questo modo per la certificazione ISO per un'istantanea dell'inventario delle risorse esistente che include molte delle risorse distribuite?