web-dev-qa-db-ja.com

グローバルなスタートアップのためのInfoSec認定

私はグローバルなスタートアップで働いています。最近、私たちはいくつかのInfoSecプロセスを経て、潜在的な大企業の顧客を抱えています。

それらのすべてが求めました:

  • SOC
  • ISO 27k

これは大規模な組織にとって理にかなっています。

小規模なスタートアップのプライバシー/セキュリティの観点から、どのような証明書を追求する価値がありますか?

について考えた:

  • UKs Cyber​​s Essentials Plus
  • EuroPrise
  • ドイツのBSI Grundschutz

私たちはグローバルなスタートアップなので、最高のグローバル認定資格を探しています。

他に何がありますか?あなたは何をお勧めします?また、どのようなアプローチですか?

当社はヨーロッパにあり、プラットフォームはAWSにあります。ただし、潜在的な顧客は会社の認証についても質問します。プラットフォーム(AWS)は十分ではありません。

4
dev

それはこれがどのように機能するかではありません。証明書は収集しません。

  • 認定されているからといって、安全であるとは限らない
  • 顧客は気になる証明書のみを気にする

「最高」の認定とは、会社の目標を最高に満たす認定です。 Cyber​​ Essentialsを追求しても、顧客がBSI Grundschutzを望んでいる場合は、多くの時間とお金を浪費しています。そして、どちらもあなたが安全であることを保証しません。

会社の証明書は、さまざまなレンズを通してあなたの会社、そのプロセス、人、テクノロジーを見るのに役立ちます。あなたの会社を守るのに役立つレンズを選択してください。あなたの目標は、認証されることではなく、安全であることです。

「最良の」ケース?それらすべてを調べて、会社が今埋めるべきギャップを強調しているレンズを特定します(いいえ、最初はすべてのギャップを一度に埋めるわけではありません)。次に、そのレンズを使用して改善します。次に、おそらくそのスキームで認定を受けることができますが、それが会社のニーズを満たす場合に限ります。

これがアプローチです(規制されていない業界の場合-規制されている業界の場合、項目1と2を入れ替えます)。

  1. 明白な、または一般的な脅威に対する人、プロセス、およびテクノロジーの基本的な能力を獲得する
  2. サードパーティの利害関係者(顧客、規制当局、投資家など)が望むものに準拠します。
  3. 一貫性を確保するために、独自の基準への内部コンプライアンスを開発
  4. リスクベースのアプローチを開発して、トップライン以外の脅威をビジネスに向ける
  5. 新たなリスクに迅速に対処できるように、柔軟で適応性のあるセキュリティアプローチを開発する

これはエリートのアプローチです:

  • [〜#〜] e [〜#〜]重要
  • [〜#〜] l [〜#〜] egal/Legislative(Lender/Ally)
  • [〜#〜] i [〜#〜]内部
  • [〜#〜] t [〜#〜] argetted
  • [〜#〜] e [〜#〜] mergent
11
schroeder

「シュローダー」の応答に同意します。ただし、この規格はISO 27017、ISO 27018、SOC 1、SOC 2、HIPAA、PCI-DSS、GDPR、PDPAなどの他の認定によって参照/消費されるため、ISO 27001から始めることをお勧めします。

ISO 27001規格は、ビジネスリスクアプローチに基づいているため、組織内でセキュリティとプライバシーの実践を構築するための基盤を提供します。

したがって、ISO 27001認証を取得します。

1
Ujjwal Joshi