Sono nuovo di ISO 27001 e il mio obiettivo è quello di elaborare un criterio ISMS per un'organizzazione di medie dimensioni. Dato che non ho acquistato gli standard, sono andato a leggere gli articoli di Advisorera e ho seguito il loro corso di video gratuito di base.
Ora, sono in questo stato confuso di cercare di capire come strutturare i contenuti e i documenti per ISMS e la granularità del contenuto .
Ho trovato 3 riferimenti online (link sotto) che penso sia abbastanza decente. Tuttavia, la granularità di questi documenti è molto diversa l'una dall'altra.
-
Separa in più documenti. Sezione 2, descrizione di alto livello del controllo implementato dall'Allegato A, credo. Quindi fa riferimento a documenti molto dettagliati su come viene applicato il controllo. Per esempio. link
Devo fornire questo documento (ITSS_15.pdf) con tale granularità per ottenere la certificazione? -
Tutto in un unico documento. L'allegato 1 parla dei controlli dell'Annesso A, credo non così dettagliati come il documento dettagliato di cui alla sezione 2 del link 1.
-
Tutto in un unico documento. Penso che la sezione 6 parli del controllo di un allegato A, di altissimo livello
Come puoi vedere i 3 documenti sopra, la loro granularità e struttura dei contenuti sono molto diversi. Come strutturare i contenuti e i documenti per ISMS e la granularità del contenuto?