グローバルなスタートアップのためのInfoSec認定

Question

私はグローバルなスタートアップで働いています。最近、私たちはいくつかのInfoSecプロセスを経て、潜在的な大企業の顧客を抱えています。

それらのすべてが求めました：

SOC
ISO 27k

これは大規模な組織にとって理にかなっています。

小規模なスタートアップのプライバシー/セキュリティの観点から、どのような証明書を追求する価値がありますか？

について考えた：

UKs Cybers Essentials Plus
EuroPrise
ドイツのBSI Grundschutz

私たちはグローバルなスタートアップなので、最高のグローバル認定資格を探しています。

他に何がありますか？あなたは何をお勧めします？また、どのようなアプローチですか？

当社はヨーロッパにあり、プラットフォームはAWSにあります。ただし、潜在的な顧客は会社の認証についても質問します。プラットフォーム（AWS）は十分ではありません。

schroeder · Accepted Answer

それはこれがどのように機能するかではありません。証明書は収集しません。

認定されているからといって、安全であるとは限らない
顧客は気になる証明書のみを気にする

「最高」の認定とは、会社の目標を最高に満たす認定です。 Cyber Essentialsを追求しても、顧客がBSI Grundschutzを望んでいる場合は、多くの時間とお金を浪費しています。そして、どちらもあなたが安全であることを保証しません。

会社の証明書は、さまざまなレンズを通してあなたの会社、そのプロセス、人、テクノロジーを見るのに役立ちます。あなたの会社を守るのに役立つレンズを選択してください。あなたの目標は、認証されることではなく、安全であることです。

「最良の」ケース？それらすべてを調べて、会社が今埋めるべきギャップを強調しているレンズを特定します（いいえ、最初はすべてのギャップを一度に埋めるわけではありません）。次に、そのレンズを使用して改善します。次に、おそらくそのスキームで認定を受けることができますが、それが会社のニーズを満たす場合に限ります。

これがアプローチです（規制されていない業界の場合-規制されている業界の場合、項目1と2を入れ替えます）。

明白な、または一般的な脅威に対する人、プロセス、およびテクノロジーの基本的な能力を獲得する
サードパーティの利害関係者（顧客、規制当局、投資家など）が望むものに準拠します。
一貫性を確保するために、独自の基準への内部コンプライアンスを開発
リスクベースのアプローチを開発して、トップライン以外の脅威をビジネスに向ける
新たなリスクに迅速に対処できるように、柔軟で適応性のあるセキュリティアプローチを開発する

これはエリートのアプローチです：

[〜＃〜] e [〜＃〜]重要
[〜＃〜] l [〜＃〜] egal/Legislative（Lender/Ally）
[〜＃〜] i [〜＃〜]内部
[〜＃〜] t [〜＃〜] argetted
[〜＃〜] e [〜＃〜] mergent

Ujjwal Joshi · Answer

「シュローダー」の応答に同意します。ただし、この規格はISO 27017、ISO 27018、SOC 1、SOC 2、HIPAA、PCI-DSS、GDPR、PDPAなどの他の認定によって参照/消費されるため、ISO 27001から始めることをお勧めします。

ISO 27001規格は、ビジネスリスクアプローチに基づいているため、組織内でセキュリティとプライバシーの実践を構築するための基盤を提供します。

したがって、ISO 27001認証を取得します。