"Está bien, no podemos alcanzar este estándar, así que busquemos un estándar que podamos lograr sin mucho trabajo"
es prácticamente lo opuesto a la mentalidad de una organización consciente de la seguridad, aunque estoy de acuerdo (después de 5 minutos de clase) con la presunción de que 27001 puede ser un poco de trabajo, pero luego tendrá que vivir sin él. esa certificación.
En lugar de tratar de encontrar una certificación arbitraria que se ajuste a su organización, es posible que simplemente desee analizar el estándar y aplicar todo lo posible a la organización de 5 personas. Una certificación no vale nada, para ser honesto, desde una perspectiva de seguridad, pero le costará mucho dinero. En realidad, adherirse a prácticas sensatas prácticamente se paga por sí mismo.