ISO 27001：2013スコープ定義に関する質問

27001（2005または2013）は、ほとんどの人が考えるように規定されていません。スコープの設定方法は完全にユーザー次第です。証明書に表示されることを覚えておいてください。

認証に投資した外部の利害関係者（顧客、パートナー、株主）がそれで十分だと思わない場合は、認証自体が目的に役に立たない可能性があります。

2番目の会社が範囲外である場合、監査人は評価中にそれ自体を考慮しません。そのポリシー、手順、および制御は関連しません。

ただし、除外されたことが間接的に問題を引き起こさないというわけではありません。あなたはあなたのワークスペースにアクセスできる他の人が問題になるかもしれないと正しく述べています。

セクション11はこの要素を扱います。11.1.1（物理的境界セキュリティ）および11.1.3（オフィス、部屋、施設のセキュリティ保護）は、適用性に関する声明を効果的に管理する必要がある場所です。

標準は、コントロールが何であるかを規定しているのではなく、コントロールがあることを規定しています。監査人の仕事は、あなたがそれらを持っていることと、それらが明らかに効果がないことを証明することです-それらがが効果的であることではありません。

問題は確かに克服できません。自動ロック画面、ネットワークインターフェイスの802.1x、および他の会社の従業員の存在に関連する情報セキュリティインシデントを報告する従業員に関するさまざまな制御で、ほとんどの場合監査人を満足させることができます。

実際、一部の組織では、一般のメンバーと一緒に特権情報を扱う必要があり（たとえば、小売銀行のフロアにあるブース）、これは27001認定を取得するための障壁ではありません。もちろん、多くはあなたの環境とあなたの監査人に依存します。

UKAS監査人は最も厳格である傾向がありますが、1日の終わりに同じルールでプレーします-コントロールはありますか？それが機能していない証拠はありますか？

最後に、データセンターの要点として、情報処理施設として、監査中に繰り返し言及することは避けられません。施設自体が27001認定を受けている場合（バージョンは問題ではありません）、必要なことは、その証明書と適用可能声明を作成することだけです。そうでない場合、監査人はあなたに代わって提供するセキュリティをテストするために訪問する可能性があります。

1. 証明書は法人に発行する必要があるため、2番目の会社は対象外です。これは、彼らがあなたのISMS要件を遵守しないことを前提としています。所有者が同じであるなど、2つの会社間にビジネス関係があった場合、異常な機密性の取り決めに従って、同じISMSで運用されている両方を認定できる場合があります。
2. これは、情報を論理的に（つまり、完全に別のネットワーク上にあることを意味すると私は想定しています）と物理的に保護する必要があることを意味します。後者はあなたが問題を抱えているようで、両方の会社のスタッフが絡み合っています。
3. データセンターは範囲内にあり、監査人が訪問するか、少なくとも契約とセキュリティの取り決めを見直します。 （彼らは完全なマネージドサービスをホストまたは提供しますか。ただし、証明書のスコープでこの2次的な場所について言及することはほとんどありません。