web-dev-qa-db-ja.com

合併はISO 27001認証に正式にどのように影響しますか?

組織Aには、ISO 27001認定のサービスがあります。認定を受けていない組織Bが取得しています。

ISO 27001認証に対する取得の正式な影響は何ですか?

2つのケースに興味があります。

  1. 買収直後、組織Aでまだ何も変更されていない。
    →私の理解では、認証は無傷であり、

    1. スコープは変更されていません。そして
    2. 要件を処理する手段(パッチ管理など)も変更されていません。
  2. 組織Bは組織Aを統合し、要件を処理する手段が変更されました。上記のパッチ管理の例を見ると、ISO 27001要件に適さない1つの単語で、アドホックで制御されていません。
    →ISO認証はまだ保持されますか?

もう1つの見方は、認証が毎年確認されるスナップショットであるか(年間を通して問題がないことを期待して)、またはその年のマイナスの変更によって自動的に無効になるかどうかです。

後者の場合、この無効化はどのように発生しますか?

1
WoJ

正解は1です。認定は常に特定の範囲に限定されます。一部の支店のみを認定し、その認定をウェブサイトに掲載している多くの企業を知っています。

自動無効化はありません。認定は、毎年のチェック後に取り消すことができますが、通常は大きな欠陥が検出された場合のみです。ほとんどの場合、問題の修正には数か月かかりますが、この間も認定を保持します。ただし、その間に改善に失敗した場合は、再認定を受ける必要があります。

プロセスの変更は完全に正常であり、ISO 27001で説明されているように処理する必要があります。

1
Kingflomb