アドバイス/意見はありがたいです。
最終的に、当社はISO27001:2013の認証を取得したいと考えていますが、それは多少ずれています。とりあえず、コンプライアンスを「証明」できるポイントに到達できるようにしたいと思います(PCI DSS AOCと同様)。ISO27001:2013にそのようなメカニズムはありますか?サードパーティの監査人に「コンプライアンスへの進捗状況」を確認してもらうことは可能ですか、それともサードパーティは完全なコンプライアンスを確立する監査に基づいてのみ認定するのですか?
私たちの会社は、同じ企業構造の中で2つの事業単位に事実上分割されています。コンプライアンスの範囲はこれらの部門の1つにほぼ完全に存在すると予想されます。その範囲をサードパーティの監査人に提示したが、監査人はその範囲が会社内の情報セキュリティリスクに十分に対処するには十分ではないと感じた場合、監査人は認証に同意する可能性が高いでしょうか?
言い換えれば、サードパーティの監査人は企業レベルでのみ認定するのですか、それとも企業構造内の特定の機能を認定するのに適していますか?
彼らはあなたの範囲に応じてあなたの会社の特定の部分を認定することができます。たとえば、データセンターのみを認証したい場合は、そうすることができますが、証明書に関しても明記されます。
はい、可能です。たとえば、 ISAE 30 などの保証レポートを使用して、ISO 27001規格との整合性をある程度保証しているクライアントがいくつかあります。ただし、これは認証ではありません。
スコープは、監査人が最初に見るものの1つになります。範囲が適切でないと彼らが考える場合、彼らはすぐにそれをあなたに報告し、おそらくあなたは一緒に問題に対処する方法を見つけるでしょう。
言い換えると、サードパーティの監査人は企業レベルでのみ認定するか、または企業構造内の特定の機能を認定するのに適しているか
監査人は、特定の機能、ビジネスユニット、またはビジネスプロセスを認証できます。それは本当にあなたの会社、あなたのリスクプロファイルなどに依存します。
いずれにせよ、あなたへの私のアドバイスは、あなたが正しい軌道に乗っていることを確認するために、今すぐあなたの監査人と話し合うことです。