El negocio en cuestión tiene altos requisitos para la seguridad de la información debido a la naturaleza sensible de su trabajo. La compañía tiene 5 personas en el personal y trabajan con consultores de vez en cuando. ¿Existe otro estándar de seguridad de la información que se pueda usar en lugar de ISO 27001 para una empresa de este tamaño?
"Está bien, no podemos alcanzar este estándar, así que busquemos un estándar que podamos lograr sin mucho trabajo"
es prácticamente lo opuesto a la mentalidad de una organización consciente de la seguridad, aunque estoy de acuerdo (después de 5 minutos de clase) con la presunción de que 27001 puede ser un poco de trabajo, pero luego tendrá que vivir sin él. esa certificación.
En lugar de tratar de encontrar una certificación arbitraria que se ajuste a su organización, es posible que simplemente desee analizar el estándar y aplicar todo lo posible a la organización de 5 personas. Una certificación no vale nada, para ser honesto, desde una perspectiva de seguridad, pero le costará mucho dinero. En realidad, adherirse a prácticas sensatas prácticamente se paga por sí mismo.
La pregunta principal es si está apuntando hacia una certificación de cualquier tipo.
Si la certificación es no su objetivo, simplemente puede seleccionar ISO27001 y enfocarlo como un marco que elija & escoge de. Aplique agresivamente el enfoque basado en el riesgo de la SOA y excluya cualquier control que no aborde un riesgo grave.
Si quiere obtener una certificación, le recomiendo que consulte a sus certificadores locales. No incluyó un país en su pregunta, lo que dificulta señalarlo en cualquier lugar. Sé que en Europa, varias organizaciones de prueba también ofrecen certificaciones personalizadas y usted debería poder encontrar algo entre ellas. Estarán encantados de ayudarle a elegir el correcto, estoy seguro.
Puede implementar ISO 27001 para cualquier tamaño de organización, siempre que quiera construir un sistema de procesos para asegurar su información.
En su caso, la documentación probablemente será mínima (un documento que contenga políticas y procedimientos, con SoA incorporado y un registro de riesgos).
ISO nunca te pide una gran documentación.
Puede usar el NIST CyberSecurity Framework
Como marco, es flexible, fácil de entender y medir, y medir la adherencia sería un paso excelente en cualquier programa de seguridad de la información.
Si desea entrar en muchos más detalles para aumentar la madurez después de haber completado lo anterior, puede consultar los Controles de seguridad y privacidad de NIST para sistemas y organizaciones de información federales (consulte enlace ).
Lea otras preguntas en las etiquetas business-risk iso27001