Certificazione ISO27001 - Incidente commerciale

1

Abbiamo uno scopo definito e certificato. Se abbiamo un evento aziendale che ha un impatto sui servizi o su un edificio che è "in" e dobbiamo chiudere questo edificio e ripristinare i servizi su un altro sito che non ha un insieme equo di controlli di sicurezza fisici e logici, come può la validità della certificazione?

Dobbiamo avvisare l'auditor? Possiamo semplicemente lavorare su azioni correttive per garantire che alla prossima verifica siamo allineati con le operazioni standard e di controllo? C'è qualcos'altro che dobbiamo fare?

    
posta omen 17.04.2015 - 12:14
fonte

2 risposte

1

La certificazione 27001 riguarda il tuo ISMS, non i tuoi controlli. Se un controllo smette di funzionare, non ha alcun impatto sulla certificazione.

Naturalmente, se un controllo smette di funzionare e il tuo ISMS non rileva e risolve il problema, allora questo influisce sulla certificazione ...

    
risposta data 17.04.2015 - 13:15
fonte
0

La tua domanda riguarda due argomenti:

In primo luogo, l'uso di "un altro sito che non ha un insieme equo di controlli di sicurezza fisici e logici" nel caso di risorse nell'ambito dell'ambito deve essere documentato. Questo di solito è fatto in piani di recupero / piani di emergenza.

In secondo luogo, non devi nulla all'auditor. Tuttavia, se si verifica un incidente e si vede che questo incidente rende la violazione delle regole che aveva certificato (esempio: i server devono operare in una stanza controllata da restrizioni di accesso fisico), allora si ha una "non conformità". Le non conformità sono generalmente qualificate come minori o maggiori. Il numero di queste non conformità sollevate da un revisore contabile deciderà sul rinnovo della certificazione.

Le azioni correttive sono mezzi per correggere le non conformità che sollevate. In caso contrario, la non conformità rimarrà e potrebbe essere sollevata durante un controllo futuro. L'azione correttiva dovrebbe risolvere questo problema:

  • crea nuove regole (esempio: crea un documento per il recupero affermando che quando si verifica questo tipo di incidente, i server possono funzionare in un ambiente degradato per qualche volta),
  • modifica le regole,
  • o investire in più risorse (avere un server di backup in una stanza adeguata con accesso fisico).

Se segui le tue regole e continui a correggerti in caso di mancata conformità, non ci dovrebbero essere problemi per quanto riguarda la certificazione. Dopotutto, questo è ciò che ISO27k dice che devi fare.

    
risposta data 20.04.2015 - 11:41
fonte

Leggi altre domande sui tag