私の会社はISO 27001認証を取得したいので、予備調査を開始し、現在、標準(会社のコンテキスト、関係者、境界など)に基づいてISMSスコープのドラフトに取り組んでいます。
スコープやその他の潜在的な結果に何を含める必要があるか、または含めないかをよりよく理解するためにいくつかの助けを求めたいいくつかのことが私には不明確なままです。
場所:固有の会社のオフィスの場所は範囲内(小規模オフィス)ですが、一部の資産がホストされているデータセンターの場所も含める必要がありますか?これは私たち自身のデータセンターではありませんが、外部委託されていることに注意してください(会社はいくつかのラックを地元のデータセンタープロバイダーにレンタルしています)。
範囲外:会社は、同じオフィス/敷地内にある別の会社の株式も保有しています。この他の会社のユーザーはオフィス全体にアクセスできるため、「共有施設」と考えることができます(正面玄関ではアクセス制御のみが行われています)。
ネットワークの観点から、2番目の会社は専用に分離されていますDMZ私の会社のネットワークにアクセスできません(まだ確認する必要がありますが、共有プリンターを使用できます)少なくとも)。
私の最初の評価は、2番目の会社を(専用DMZを含む)範囲から除外することでしたが、人々は私たちのオフィス内のどこにでも移動できるので、少し考えてみると、それほど簡単には決まらないように見えます...
27001(2005または2013)は、ほとんどの人が考えるように規定されていません。スコープの設定方法は完全にユーザー次第です。証明書に表示されることを覚えておいてください。
認証に投資した外部の利害関係者(顧客、パートナー、株主)がそれで十分だと思わない場合は、認証自体が目的に役に立たない可能性があります。
2番目の会社が範囲外である場合、監査人は評価中にそれ自体を考慮しません。そのポリシー、手順、および制御は関連しません。
ただし、除外されたことが間接的に問題を引き起こさないというわけではありません。あなたはあなたのワークスペースにアクセスできる他の人が問題になるかもしれないと正しく述べています。
セクション11はこの要素を扱います。11.1.1(物理的境界セキュリティ)および11.1.3(オフィス、部屋、施設のセキュリティ保護)は、適用性に関する声明を効果的に管理する必要がある場所です。
標準は、コントロールが何であるかを規定しているのではなく、コントロールがあることを規定しています。監査人の仕事は、あなたがそれらを持っていることと、それらが明らかに効果がないことを証明することです-それらがが効果的であることではありません。
問題は確かに克服できません。自動ロック画面、ネットワークインターフェイスの802.1x、および他の会社の従業員の存在に関連する情報セキュリティインシデントを報告する従業員に関するさまざまな制御で、ほとんどの場合監査人を満足させることができます。
実際、一部の組織では、一般のメンバーと一緒に特権情報を扱う必要があり(たとえば、小売銀行のフロアにあるブース)、これは27001認定を取得するための障壁ではありません。もちろん、多くはあなたの環境とあなたの監査人に依存します。
UKAS監査人は最も厳格である傾向がありますが、1日の終わりに同じルールでプレーします-コントロールはありますか?それが機能していない証拠はありますか?
最後に、データセンターの要点として、情報処理施設として、監査中に繰り返し言及することは避けられません。施設自体が27001認定を受けている場合(バージョンは問題ではありません)、必要なことは、その証明書と適用可能声明を作成することだけです。そうでない場合、監査人はあなたに代わって提供するセキュリティをテストするために訪問する可能性があります。