ISO27001認証-ビジネスインシデント
定義され認定されたスコープがあります。サービスまたは「範囲内」の建物に影響を与えるビジネスイベントがあり、その建物をシャットダウンして、物理的および論理的なセキュリティ制御の公平なセットを持たない別のサイトにサービスを回復する必要がある場合、その影響はどのようになりますか認証の有効性?
監査人に通知する必要がありますか?次の監査で標準および管理操作と整合していることを確認するために、単に是正措置に取り組むことができますか?他に何かする必要がありますか?
27001認定は、コントロールではなく、ISMSに関するものです。コントロールが機能しなくなっても、認定には影響しません。
もちろん、コントロールが機能しなくなり、ISMSがその問題を検出して修正しない場合、それは認証に影響を与えます。
あなたの質問は2つの主題を対象としています:
まず、スコープ内の資産の場合の「物理的および論理的なセキュリティ管理の公平なセットを持たない別のサイト」の使用を文書化する必要があります。これは通常、復旧計画/緊急時対応計画で行われます。
第二に、あなたは監査人に何も負っていません。ただし、インシデントが発生し、このインシデントによって認定されたルールに違反していることがわかった場合(例:サーバーは物理的なアクセス制限によって制御されている部屋で動作する必要があります)、「不適合」になります。不適合は通常、マイナーまたはメジャーとして認定されます。審査員によって提起されたこれらの不適合の数によって、認証の更新が決まります。
是正措置は、提起した不適合を是正するための手段です。そうしないと、不適合が残り、将来の監査中に発生する可能性があります。是正措置は、次のいずれかによってこれに対処する必要があります。
- 新しいルールを作成します(例:このタイプのインシデントが発生した場合、サーバーは劣化した環境でしばらく動作する可能性があることを示す回復用のドキュメントを作成します)、
- ルールを変更し、
- または、より多くのリソースに投資する(物理的にアクセスできる適切な部屋にバックアップサーバーを配置する)。
あなたがあなたの規則に従い、従わない場合にあなた自身を修正し続けるならば、認証に関して問題はないはずです。結局のところ、これはISO27kがあなたがしなければならないと言っていることです。