web-dev-qa-db-ja.com

ISO 27001を認証する組織を信頼するのはなぜですか?

ISO 27001を認証する組織を信頼する理由を尋ねられました。彼らはどこからISO 27001を認証できるようになりましたか?

たとえば、認証ビジネスを開始して、会社がISO 27001に準拠していることを証明できます。しかし、私はそうすることを認められていないので、私の「署名入りの紙」は役に立たないでしょう。ただし、BSiがそれを認証した場合、それは役に立たないわけではありません。したがって、なぜBSi認定は価値があるが私のものではないのですか?

13
eez0

[〜#〜] sgs [〜#〜]TÜVRheinland のような認証会社または [〜#〜] bsi [〜#〜]は、ISO 27001証明書を発行する認定機関によって認定されています。たとえば、SGSとBSIは [〜#〜] ukas [〜#〜] の認定を受けており、テュフラインランドは [〜#〜] dar [〜#〜] の認定を受けています=。

認定機関は、ISO 19011などの標準を含めるために使用する認定要件に準拠していることを保証するために、認定する認定企業の監査を実行します。準拠していない場合、認定は削除される可能性があります。

誰が認定企業を認定しますか?他の人が言ったように、最後に、認定機関と彼らが開発したシステムを信頼するための条約が存在します。

15
kinunt

ISO/IEC 27001を信じますか? ISO/IEC 27001に基づく管理システムを実装および保守している企業が、効果的な情報セキュリティ管理プロセスを行うことを受け入れますか?

そうしないと、BSIのような認証機関をどのように信頼できるかについての無意味な心配事になります。多くの人々はそもそも標準を理解していません-それはすべてITに関するものであると考えるか、または重大なセキュリティインシデントがあった場合、標準または認証機関が何らかの理由で失敗したと考えています。

実際、私の意見では、最大の問題は、ISMSの実装と不適切なスコープに関するものです-最も一般的には、「実際のビジネス」と呼ばれる他のすべてのものを犠牲にしてIT部門を含めることです!時間とお金を浪費するための真のレシピであり、2013年版の標準のリリースで遭遇することが少なくなることを願っています。

言い換えると、ISO/IEC 27001認証を取得しても、多くの要因に依存するため、優れた情報セキュリティが確保されているとは限りません。これは、組織がISMSを確立し、そのISMSを実装および維持していること、そしてISMSが継続的に見直され、改善されていることを意味しています。監査人の役割は、主に1)要件への適合性をチェックし、2)ISMSの有効性を評価することです。つまり、ISMSはポリシーの目的を一貫して達成しています。

認証では、認証機関に代わって監査を実施する個々の監査人の能力を信頼します。 2人の異なる有能な監査人が同じ監査を計画して実施する場合、どちらも異なる所見で現れます。このプロセスに自信を持つためには、このプロセスがどのように機能するか、その価値と弱点も理解する必要があります。

前述したように、UKASのような国の認定機関は、本質的に私たちに代わって認証機関を監査し、認証機関が独自の管理システム要件を満たしていない場合やISOなどの基準に準拠していない場合は認定を削除することで、信頼を得るのに役立ちます/ IEC 17021(適合性評価要件)-たとえば、認証機関とその監査人が監査を実施する際に独立している必要があります。コンサルティングサービスも提供している認証会社はいくつありますか。コンサルティングと監査は正反対の2つであり、監査結果に偏りをもたらします。 BSIなどの認定企業は、コンサルティングサービスを提供できません。

もう1つの重要な要件は、必要な能力を保証する監査人の選択とトレーニングを行うために、認証機関が効果的なプロセスを備えている必要があることです。優れた認証機関は、可能な限り高い水準で整合性を確保します。

ですから、質問に答えるために、私たちは「認定された」認証機関を信頼します。なぜなら、それらは有能な独立した第三者によって監視されており、認定を維持するために特定の基準を維持する必要があるからです。

良い認証機関と悪い認証機関はありますか?良い監査人と悪い監査人はいますか?両方にYES!その灰色、そして他のポスターで先に述べたように、それは信頼の慣習です。最終的には、その信頼を求めているのは認証機関の評判であり、元の投稿者の(op)証明書が既知の認証機関の証明書と比較して価値がないと見なされる主な理由です。

この点についてもう1つ注意しておきますが、規格には認証の「要件」はありません。企業が[ほぼ]外向きにプロセスに取り組んでいるという信頼を築くために選択するのは、私が最初に尋ねた理由ですが、プロセスを信じますか?

同様に、誰でも(私、あなた、そして運用者)は、会社がISO/IEC 27001規格に準拠していることを実施および証明できます-組織が求めている利点によっては、何も問題はありません。確かに、opからの「認定されていない」証明書は、コミュニティの見解ではそれほど重要ではありませんが、すべてが監査人にかかっており、opまたは他の誰かが十分な能力を発揮できなかった理由はありません。 ISO/IEC 27001監査の実施経験があり、独立した意見を提供することで監査クライアントに大きな価値を提供できる立場にある。

ISO/IEC 27001を認証する組織を信頼するのはなぜですか?たぶん、私たちがSSL認証局を信頼しているのと同じ理由-評判。

ただの意見...

5
Lee

最終的にそれは信頼にかかっています。 ISO27001に対して監査することを信頼するのは誰ですか?

BSiの場合、プロセスの一部として確立されました(実際に、BS7799はBSi開発規格であるISO27001に先行しており、IIRCは最初に作成されたときに効果的にISO27001になりました)。

したがって、標準の作成の一環として、認証を処理するための監査プロセスを作成および管理する必要があります。そのため、英国政府などのグループから認証を信頼されています。

理論的には、誰もがISO27001に基づく独自のセキュリティコンプライアンス標準を思い付く可能性がありますが、問題は「なぜそれらを信頼するのか」です。

4
Rory McCune

ISO27001は、組織が監査される基準です。これはペンテストやコードレビューではなく、主に管理、ポリシーなどに焦点を当てています。会社の運用の有効性、制御などについて合理的な保証を提供するサードパーティです。例えば組織が認定されている場合でも、リスクを管理するための法的契約、契約などが存在します。信頼は保証と同じではありません。

認定を希望する組織は、誰を監査するかを選択します。彼らは誰かの名前のない新興企業を雇うこともできますが、通常は市場での信頼と尊敬があるブランド名を採用しますそれは価値があります。監査および認証会社は評判があります。ベンダーの認定を必要とする場合は、ベンダーの承認済みリストを使用するように伝えることができます。または、サードパーティに信頼や信頼を置く理由がないため、証明書を気にしないと言うことができます。レビューを行いました。認定を行う第三者は、資格情報をチェックすることもできます(例: ISO/IEC 27001 Lead Auditor )。

あらゆるタイプの第三者レビュー(SOC1/SSAE16、SOC2、ISO27001など)のポイントは、自分で行って完全な監査を行った後、低コストで妥当な保証を得ることです。信頼できるサードパーティは、共通の基準を使用して組織を1回レビューできます。それ以外の場合は、すべての顧客が個別に会社を監査またはレビューする必要があります。これは、会社の時間を浪費し、おそらく顧客にとってかなり高額になります。 誰かのISO27001認証を信頼する必要はありません。それが重要な場合は、いつでも交渉して、独自の基準を使用して独自のレビューを実施することができます。

2
Eric G