web-dev-qa-db-ja.com

ISO 27001に準拠していない

ある中小企業がISO 27001認定を取得したとしましょう。監査の1つ中に、会社がISMSに従わなかったことが判明した場合はどうなりますか?会社が通過しなければならない特定の警告プロセスはありますか?基本的に、ISO 27001認定が取り消される場合があるかどうかと、その方法を知りたい

certificate-revocationiso27000
2
obsessiveCookie

この特定のISO 97001については、ISO Webサイトやその他の関連サイトでは何も見つかりませんでした。しかし、あなたがタグISO 27000を配置し、ISMSについて言及しているのを見たので、情報セキュリティ管理システムであるISO 27001について話していると思います。

通常、すべてのISO認証では、証明書が認定されると、スケジュールされた監視監査を実施する必要があります。重大な欠陥がある場合、監査人は修正措置を講じるために一定の時間を与えます。所定の時間が経過しても、これらの修正アクションの実装またはプロセスの調整に成功しなかった場合、証明書の失効が発行されます/発行されます。

ISO 27001を実装する主な理由は、ビジネスリスクをカバーすることです。 ISO 27001を所有しているが、監査がある場合を除いて、フレームワークで定義されているコントロールを実際に使用していないことがわかった場合は、社内に深刻なセキュリティメンタリティの問題があります。また、重大なインシデントがあり、フレームワークで定義された制御が守られなかったことが示されている場合は、フレームワーク/証明書によってカバーされていないであることに注意してください。

3
Lucas Kauffman

まあ、すべての不適合を同様に扱う必要があるわけではないので、情報セキュリティ基準は主観的なものだと私は思います。

ここで適用される(必ずしも限定されない)可能性のあるシナリオといえば:

  1. 不適合ではなくニーズの改善が提起され、フォローアップ監視監査(年1回とは異なる)が必要です。
  2. 不適合が与えられ、認証が取り除かれます。この場合、再度認証を取得するには、完全な認証契約を結ぶ必要があります。

HTH、

0
RAO