web-dev-qa-db-ja.com

ISO 27001:2013認証の質問

アドバイス/意見はありがたいです。

  1. 最終的に、当社はISO27001:2013の認証を取得したいと考えていますが、それは多少ずれています。とりあえず、コンプライアンスを「証明」できるポイントに到達できるようにしたいと思います(PCI DSS AOCと同様)。ISO27001:2013にそのようなメカニズムはありますか?サードパーティの監査人に「コンプライアンスへの進捗状況」を確認してもらうことは可能ですか、それともサードパーティは完全なコンプライアンスを確立する監査に基づいてのみ認定するのですか?

  2. 私たちの会社は、同じ企業構造の中で2つの事業単位に事実上分割されています。コンプライアンスの範囲はこれらの部門の1つにほぼ完全に存在すると予想されます。その範囲をサードパーティの監査人に提示したが、監査人はその範囲が会社内の情報セキュリティリスクに十分に対処するには十分ではないと感じた場合、監査人は認証に同意する可能性が高いでしょうか?

    言い換えれば、サードパーティの監査人は企業レベルでのみ認定するのですか、それとも企業構造内の特定の機能を認定するのに適していますか?

6
Garreth McDaid
  1. 認定機関による認証は、会社に設定した範囲内で実際に準拠している場合にのみ行われます。 ISO27001監査人にギャップ評価と現在の状態を実行するように要求できます。また、ISMSを改善したり、実装を支援したりするための低レベルまたは高レベルの推奨を行うことができます。与えられたアドバイスの量によっては、監査の実行が許可されなくなる場合があることに注意してください(自分の作業を監査することはできません)。
  2. 証明書には、準拠している内容と、証明書の範囲が記載されています。したがって、会社全体でISO27001に準拠していることをクライアントに伝えることができない場合。組織内の特定のビジネスユニットにのみ準拠しています。

彼らはあなたの範囲に応じてあなたの会社の特定の部分を認定することができます。たとえば、データセンターのみを認証したい場合は、そうすることができますが、証明書に関しても明記されます。

3
Lucas Kauffman
  1. はい、可能です。たとえば、 ISAE 30 などの保証レポートを使用して、ISO 27001規格との整合性をある程度保証しているクライアントがいくつかあります。ただし、これは認証ではありません。

  2. スコープは、監査人が最初に見るものの1つになります。範囲が適切でないと彼らが考える場合、彼らはすぐにそれをあなたに報告し、おそらくあなたは一緒に問題に対処する方法を見つけるでしょう。

言い換えると、サードパーティの監査人は企業レベルでのみ認定するか、または企業構造内の特定の機能を認定するのに適しているか

監査人は、特定の機能、ビジネスユニット、またはビジネスプロセスを認証できます。それは本当にあなたの会社、あなたのリスクプロファイルなどに依存します。

いずれにせよ、あなたへの私のアドバイスは、あなたが正しい軌道に乗っていることを確認するために、今すぐあなたの監査人と話し合うことです。

1
ack__