Pregunta sobre la definición de alcance ISO 27001: 2013

4

Mi empresa desea obtener la certificación ISO 27001, por lo que hemos iniciado un estudio preliminar y ahora estamos trabajando en un borrador del alcance del SGSI de acuerdo con la norma (contexto de la empresa, partes interesadas, límites ...).

Varias cosas no me quedan claras, por lo que me gustaría obtener ayuda para comprender mejor qué debe incluirse o no en el alcance y otras posibles consecuencias:

  1. Ubicaciones: la ubicación única de la oficina de la empresa está dentro del alcance (pequeña oficina), pero ¿debemos incluir también la ubicación del centro de datos donde se alojan algunos activos? Tenga en cuenta que este no es nuestro propio centro de datos, pero está subcontratado (la empresa alquila algunos bastidores a un proveedor de centros de datos local).

  2. Fuera de alcance: la compañía también posee acciones en otra compañía que se encuentra dentro de la misma oficina / local. Podemos considerar "locales compartidos", porque las personas de esta otra compañía pueden acceder a toda la oficina (solo el control de acceso se encuentra en la entrada principal). Desde el punto de vista de la red, la segunda empresa está aislada en una DMZ dedicada sin acceso a la red de mi empresa (aún debe confirmarse, al menos pueden usar una impresora compartida).

Mi primera evaluación fue excluir a la segunda compañía del ámbito (incluida la DMZ dedicada), pero después de pensar un poco más, no parece tan fácil decidir, ya que las personas pueden mudarse a cualquier lugar dentro de nuestra oficina ... >

  • ¿Es esto algo que se planteará a través del análisis de riesgos y el plan de tratamiento (la conclusión probablemente será aislar físicamente a esta segunda compañía o trasladarla a otra parte)?
  • ¿Qué sucede con la DMZ dedicada en un firewall en el alcance si está fuera del alcance (red no segura)?
pregunta Christophe.T 04.09.2015 - 17:32
fuente

2 respuestas

2

27001 (2005 o 2013) es menos prescriptivo de lo que parece pensar la mayoría de las personas. Depende completamente de usted cómo establecer el alcance, solo recuerde que aparecerá en su certificado.

Si las partes interesadas externas (clientes, socios, accionistas) que invirtieron en su certificación no creen que sea suficiente, la certificación en sí podría ser inútil para sus propósitos.

Si la segunda compañía está fuera del alcance, entonces el auditor no lo considerará por sí mismo durante la evaluación. Sus políticas, procedimientos y controles no serán relevantes.

Sin embargo, eso no quiere decir que las cosas excluidas no le causen algunos problemas indirectamente. Puede mencionar que otras personas que tienen acceso a su área de trabajo pueden ser un problema.

La Sección 11 trata sobre este elemento: 11.1.1 (Seguridad del perímetro físico) y 11.1.3 (Protección de oficinas, salas e instalaciones) es donde deberá demostrar controles efectivos en su Declaración de aplicabilidad.

El estándar no prescribe cuáles son los controles, simplemente que usted debe tenerlos. El trabajo de un auditor es demostrar que los tiene y que obviamente no son ineficaces, no es que sean efectivos.

El problema ciertamente no es insuperable. Es probable que una variedad de controles alrededor de las pantallas de bloqueo automático, 802.1x en las interfaces de red y los empleados que informan cualquier incidente de seguridad de la información pertinente a la presencia de los empleados de la otra empresa sean suficientes para satisfacer a un auditor en la mayoría de los casos.

De hecho, en algunas organizaciones es necesario trabajar con información privilegiada con miembros del público presente (los puestos en los pisos de los bancos minoristas, por ejemplo) y eso no es una barrera para obtener la certificación 27001. Por supuesto, los lotes dependerán de su entorno y de su auditor.

Los auditores de UKAS tienden a ser los más estrictos, pero al final del día juegan con las mismas reglas: ¿existe un control? ¿Hay evidencia de que no está funcionando?

Finalmente, a su punto del centro de datos: como servicio de procesamiento de información, será imposible evitar que se mencionen repetidamente durante la auditoría. Si la instalación tiene la certificación 27001 (no importa en la versión), todo lo que debe hacer es presentar su certificado y la Declaración de aplicabilidad. Si no es así, es probable que el auditor quiera visitar para probar la seguridad que brindan en su nombre.

    
respondido por el alifen 12.09.2015 - 17:09
fuente
0
  1. Los certificados deben emitirse a una entidad legal, por lo que la segunda compañía debe estar fuera del alcance. Esto supone que no cumplirán con los requisitos de su SGSI. Si existiera una relación comercial entre las dos compañías, como si tuvieran el mismo propietario, es posible que pueda certificar ambas, operando bajo el mismo SGSI, sujeto a acuerdos de confidencialidad inusuales.
  2. Esto significa que debe proteger su información de forma lógica (lo que afirma y suponemos que quiere decir que están en una red separada por completo) y físicamente. Este último parece que tienes problemas, con el personal de la empresa entrelazado.
  3. El centro de datos está dentro del alcance y puede ser visitado por el auditor, o los arreglos contractuales y de seguridad deben revisarse como mínimo. (¿Acogen o proporcionan un servicio administrado completo? Sin embargo, es poco probable que el alcance de su certificado mencione esta ubicación secundaria.
respondido por el Phil 28.04.2016 - 19:06
fuente

Lea otras preguntas en las etiquetas