法律事務所の適切な監査基準は何ですか？

上記の両方の答えはお金に強大ですが、私は次の警告を追加したいと思います。私は規制サービス会社を経営しており、ISO 27001の認定を取得しました。認定取得を検討している人に伝えるべきことの1つは、規格に認定されることは、すべての悪を防ぐ魔法のお守りを取得することとは異なります（そして訴訟）。これらの基準は必須ではなく、認定は任意であるため、法的救済に対する法廷での保護は常にデューデリジェンスに帰着します。

言い換えると、治安判事が機密情報を不当に公開したと考えている場合、ISO 27001を持っているかどうかに関係なく、混乱することになります。ただし、認証のポイント、およびこれは覚えておくことが非常に重要です。それを取得するには、完全に方法論的かつ注意深く、すべての責任を一覧表示し、それらを評価し、是正措置でこれらに対処する必要があります。これは、認証プロセスの最後に、会社はより慎重になり、sysadminの用語を借用するように「強化」されることを意味します。

ISOが実質的に他のすべての規格の要件をカバーすることは一般的に受け入れられているため、SOXなどではなく、ISO 27001に偏っています。 PCIには、処理施設の分離などのいくつかの癖があり、その他の標準は特定の事項について規範的である場合がありますが、ISOフレームワーク内でこれらを実装することもできます。おそらく、それを同時により適切に行うことができます。

すでに正接で言及されている最後のポイントの1つは、優れたリスク評価ベースのシステムがコストを節約できることです。それを始める前に、最も高価なファイアウォール、最もスマートなカードリーダー、完璧なマルチサイトフェイルオーバーが必要でした。しかし、適切なリスク評価を行うと、実際にはリスクを完全に取り除くことは決してないことに気づき始めます。そのため、利益の減少の法則により、究極の保護を目指すよりも賢くお金を使うほうがよいでしょう。結局のところ、最大の脆弱性の1つは従業員です。だからあなたの会社のお金を節約し、いくつかのスタッフのトレーニングセッションを整理します。

@Roryの回答の最後の小さなフレーズを拡張して、アプローチを再検討することをお勧めします。使用できる適切な規制を探すのではなく、専門のコンサルタントにビジネスリスクベースの資産重視のセキュリティ分析を依頼してください。

つまり、一般的な標準について心配する必要はありません。代わりにyour businessに重要なことに焦点を当てます-これには盗みが含まれる可能性があります機密性の高いクライアント情報、記録の利用不能（請求可能な時間の継続を妨げる可能性があります）、評判の低下など。その後、レビューはこれらの問題に焦点を当て、それらの価値の見積もりに基づいて、これらが損傷に対して脆弱である方法を調べます。

（もちろん、セキュリティレビューでは、該当する規制や法律があればそれも特定する必要があります。もちろん、これがビジネスにとって最大のリスクになる可能性があります。）

これはあなたのセキュリティバック/クッドに最大の強打（またはそれの欠如）を提供します。

一部の法的クライアントはISO 27001に移行していることがわかりました。そのため、 ロードマップ （またはガイド）を作成しました。その方向への移行を検討している場合は、自由にダウンロードして参照用に使用してください。

ISO 27002（以前のISO 17799）は、セキュリティコントロール（「ベストプラクティス」と呼ばれることが多い）の「集合」であり、「セキュリティ標準」としてよく使用されます。

ISO 27001は情報セキュリティ管理システム（ISMS）であり、情報セキュリティリスクを許容可能なレベルに保つために、企業がどのセキュリティ管理（主にISO 27002コレクションからのもの）を実施する必要があるかを決定できる論理的で構造化されたプロセスです。 。このアプローチは、関連するコントロールとそれらのコントロールに必要な範囲/厳密さを決定するための正式で監査可能なプロセスを定義することにより、ISO 27002を発展させます。