まだ完全に運用可能なモードになっていない企業/組織向けにISO27001ISMSを設計することが効率的で正しいかどうかを尋ねたいと思います。システムのオンラインアーキテクチャはまだ完成しておらず、毎週いくつかの変更が加えられています。
リスク評価の一環として、侵入テストを実施する必要があり、システムが最終的でない場合は、侵入テストを実施する意味がないことを理解しています。ただし、他の非技術的なセキュリティ制御を実装することはできます。
情報セキュリティは、組織の設計、開発、および実装のあらゆる側面で考慮されるべきです。組織が完全に立ち上がっていない場合は、ポンプを準備し、セキュリティをゼロから統合する絶好の機会です。
ボトムラインこれは、調整がまだ簡単な場合に、賢明な選択を行うのに役立ちます。セキュリティを後付けするのははるかに困難です。