業界で認められたフレームワークへの準拠-ISO27k

ISO/IEC 27001について何か知っているので、ここで売り込みます。私もCOBITに精通していますが、私の仕事では一般的に無視しているので、ここではあまり説明せず、COBITについてもっとよく知っている人に任せます：-

ISO/IEC 27001は主要な取り組みになる可能性がありますが、それは多くの要因に依存します。基本的に、組織全体の情報セキュリティ管理システム（ISMS）に対する経営陣のサポートが必要です。したがって、たとえば、大規模な組織や地理的に分散している場合は、大きな仕事になる可能性があります。管理フレームワークとプロセスに関するすべてと、それを実装する方法は、正確に何を達成しようとしているかによって異なります。一言で言えば、そのビジネスリスク管理基準は、ビジネス情報の機密性、整合性、および可用性の保持に焦点を当てています。

現在、この標準または「管理システム」を一般的に理解している人が会社にいない場合は、何らかの支援を受けるか、少なくともトレーニングコースを受講することを強くお勧めします。

おそらく私が知っている最高のトレーニングコースは、BSIが提供するものです。さまざまなコースがありますが、最初に1日の「はじめに」に参加し、その後に「実装」または「リード実装者」コースを受講することをお勧めします。実装者コースでは、一般的なプロジェクトの主要な手順を説明します。

PECB認定もありますが、私の意見では、これらのコースはほとんどがスライドショー（理論-いびき）であり、少し相互作用がありますが、BSIコースは非常にインタラクティブで実用的です。完全な開示-私はPECBとBSIの両方のトレーニングを提供しました。

コンサルタントを採用している場合は、ISO/IEC27001主任監査人の資格とともにこれらの資格を探してください。コンサルタントの履歴書もご覧ください。これはITや技術の標準ではなく、この観点から物事を見るだけのコンサルタントは、「理解できない」ことがよくあります。物理的セキュリティなど、セキュリティの他の分野での幅広い経験、および「管理システム」、「リスク管理」、およびビジネス関連の分野に関する一般的な経験を探してください。

覚えておくべきこと：27001は技術標準ではなく、IT環境だけでそれを行おうとすると、通常は悪いことです（ISO/IEC 20000-1が意図されている場合は適切です）。登録/認証自体は組織のためのものであり、継続的な監査費用が発生します（監査は外部の第三者監査機関によって実施されます）。

また、標準の2005バージョンは廃止され、新しいバージョンは2013です。これは、実装および認証が必要なバージョンです（認証/登録が必要な場合）。

私の最初の提案であり、最も安価なのは、標準を ISO.org から購入し、ダウンロードして、標準を読むことです。満たす必要のあるすべての要件を提供する条項4から10を確認する必要があります。

COBITとISO/IEC 27001は、完全に調和して共存します。矛盾はなく、適切に実行すれば、両方を実装することで多くの点でメリットがあります。 ISO/IEC 27001はあなたに大きな傘を与え、COBITはあなたにその傘に該当するいくつかのIT関連の詳細を与えます。

幸運を！