Me gustaría preguntar si es eficiente y correcto diseñar el SGSI ISO27001 para una empresa / organización que aún no esté en modo totalmente operativo, p. ej. su arquitectura en línea de su sistema aún no está finalizada y se somete a varios cambios semanalmente.
Comprendo que como parte de la evaluación de riesgos, se debe realizar un ejercicio de prueba de penetración y si el sistema no es definitivo, no tiene sentido realizar un ejercicio de prueba de penetración. Sin embargo, puede implementar otros controles de seguridad no técnicos.