私はグローバルなスタートアップで働いています。最近、私たちはいくつかのInfoSecプロセスを経て、潜在的な大企業の顧客を抱えています。
それらのすべてが求めました:
これは大規模な組織にとって理にかなっています。
小規模なスタートアップのプライバシー/セキュリティの観点から、どのような証明書を追求する価値がありますか?
について考えた:
私たちはグローバルなスタートアップなので、最高のグローバル認定資格を探しています。
他に何がありますか?あなたは何をお勧めします?また、どのようなアプローチですか?
当社はヨーロッパにあり、プラットフォームはAWSにあります。ただし、潜在的な顧客は会社の認証についても質問します。プラットフォーム(AWS)は十分ではありません。
それはこれがどのように機能するかではありません。証明書は収集しません。
「最高」の認定とは、会社の目標を最高に満たす認定です。 Cyber Essentialsを追求しても、顧客がBSI Grundschutzを望んでいる場合は、多くの時間とお金を浪費しています。そして、どちらもあなたが安全であることを保証しません。
会社の証明書は、さまざまなレンズを通してあなたの会社、そのプロセス、人、テクノロジーを見るのに役立ちます。あなたの会社を守るのに役立つレンズを選択してください。あなたの目標は、認証されることではなく、安全であることです。
「最良の」ケース?それらすべてを調べて、会社が今埋めるべきギャップを強調しているレンズを特定します(いいえ、最初はすべてのギャップを一度に埋めるわけではありません)。次に、そのレンズを使用して改善します。次に、おそらくそのスキームで認定を受けることができますが、それが会社のニーズを満たす場合に限ります。
これがアプローチです(規制されていない業界の場合-規制されている業界の場合、項目1と2を入れ替えます)。
これはエリートのアプローチです:
「シュローダー」の応答に同意します。ただし、この規格はISO 27017、ISO 27018、SOC 1、SOC 2、HIPAA、PCI-DSS、GDPR、PDPAなどの他の認定によって参照/消費されるため、ISO 27001から始めることをお勧めします。
ISO 27001規格は、ビジネスリスクアプローチに基づいているため、組織内でセキュリティとプライバシーの実践を構築するための基盤を提供します。
したがって、ISO 27001認証を取得します。