問題のビジネスには、機密性の高い作業のため、情報セキュリティに対する高い要件があります。同社には5人のスタッフがいて、時々コンサルタントと協力しています。この規模のビジネスでISO 27001の代わりに使用できる別の情報セキュリティ標準はありますか?
「OK、この標準を達成することはできないので、canに多くの作業をせずに達成できる標準を探しましょう。」
セキュリティを意識した組織の考え方とは正反対ですが、27001は少し作業量が多いという想定に(講義の5分後に)同意します。
組織に合った任意の認定を探すのではなく、単に標準を調べて、できるだけ5人の組織に適用したい場合があります。証明はセキュリティの観点からは正直言って何の価値もありませんが、多大な費用がかかります。実際に賢明な慣習に固執することは、実質的にそれ自体の利益になります。
情報を保護するプロセスのシステムを構築したい限り、組織のあらゆるサイズにISO 27001を実装できます。
あなたのケースでは、ドキュメントはおそらく最小限です(SoAが埋め込まれたポリシーと手順を含む1つのドキュメント、およびリスクレジスタ)。
ISOが膨大なドキュメントを要求することはありません。
主な問題は、あらゆる種類の認定を目指しているかどうかです。
認定がnotの目標である場合、ISO27001を選択して、選択して選択するフレームワークとしてアプローチすることができます。 SOAのリスクベースのアプローチを積極的に適用し、深刻なリスクに対応していないコントロールを除外します。
したい認定を取得する場合は、ローカルの認証機関に問い合わせることをお勧めします。質問に国を含めなかったため、どこかを指すのが難しくなっています。ヨーロッパでは、いくつかの試験機関もカスタム認定を提供しており、それらの中から何かを見つけることができるはずです。きっとあなたが正しいものを選ぶのを手伝ってくれるでしょう、きっと。
NIST CyberSecurity Framework を使用できます
フレームワークとして、それは柔軟性があり、理解し、測定し、遵守を測定するのは簡単で、あらゆる情報セキュリティプログラムの優れたステップになります。
上記を完了して成熟度を高めるためにさらに詳しく知りたい場合は、連邦情報システムおよび組織のためのNISTのセキュリティおよびプライバシー管理を参照してください( http://nvlpubs.nist.gov/nistpubsを参照)。 /SpecialPublications/NIST.SP.800-53r4.pdf )。