私の会社はB2Bです。私たちのサービスには、クライアントのユーザーに関するデータのホスティングが含まれます。
データ保護法は私たちにとって重要であり、クライアントがユーザーのデータを安全に保つことを正しく要求しているため、それらを注意深く遵守する必要があります。
2つの主な理由からISO27001認証の取得を検討しています。
そのデータを安全に保つのに役立つルールと方法論に従うように強制します
販売ツールとして:理論的には、ISO 27001認定を受けている場合、潜在的なクライアントはデータをより簡単に信頼してくれます。
つまり、安全を確保するために重要なクライアントのユーザーデータと、連絡先データベース、内部タスクとプロジェクトのプランナーとカレンダー、セールスプレゼンテーションなど、これまでのデータの2つのセットがあります。主に、WebベースのCRM、Googleカレンダー、スプレッドシート、EverNoteなどのオンラインツールを使用して作成しました。
最後に私の質問:ISO 27001は会社全体のすべてのデータと手順をカバーする必要がありますか、それともコアおよび最も重要なクライアントのユーザーのデータ、およびその他すべて(Googleカレンダー、オンラインCRM、Skype、Evernoteなどのオンラインツール)に適用できますか? ...)これらのツールを介してコアデータを公開しない限り、引き続き使用できますか? Skypeやオンラインスプレッドシートはもうないと言われています。CRMは私たちがホストする必要があります。Evernoteなどの他のWebベースのサービスは禁止されています。通常、データを完全に制御するために自分でホストできるツールに関しては選択肢がほとんどないため、これは非常に不便です。
ISO27001のために特定のテクノロジーを使用できないと言った人は、おそらく他の既得権益を持っているでしょう-おそらく怠惰でさえ。この規格は、あなたができることとできないことを義務付けていません。これは、リスクを管理する必要がある方法と、リスクを管理していることを示す必要がある方法を効果的に定義します。
準拠していて、Office365またはGoogleWorkを使用している組織はたくさんあります。 SkypeからSlackなどのあらゆる種類の外部通信を備えたさらに多くのもの。
重要なのは、リスクを特定して認識し、それらを軽減するための堅牢なプロセスを持つことです。
特定の例が役立つ場合があります。 ISO27001とは直接関係ありませんが、英国にはSkypeを介して患者の診察を行っている医師が多数います。そのためには、ISO27001から通常期待されるものをはるかに超える認定リスク管理が必要です(英国では米国のHIPPAに相当すると考えてください)。