Uno de mis clientes tiene a su disposición ISO 27001 y han pasado por auditorías. Mientras tanto, están tomando los servicios de seguridad personalizados de nuestra empresa, donde uno de los entregables es Revisión de arquitectura de red segura . Si bien optaron por los servicios provistos, no informaron de antemano que no contaban con documentación, políticas y el marco de seguridad específicos para realizar la tarea.
Desde mi punto de vista, tenía estos requisitos para llevar a cabo el proceso de revisión de arquitectura de red de SNA o Secure Network Network:
-
Política de seguridad de la información
-
Política de seguridad de red
Política de seguridad de la aplicación
Registro de activos de información & La clasificación se adhiere a la CIA
Estándares de contraseña
Control de acceso
-
Política de recuperación de desastres (DRP)
- Política de gestión de cambios
- Plan de continuidad del negocio (BCP)
Ya que estamos a punto de proporcionarles garantías de riesgo de seguridad de la información y tienen estas lagunas faltantes, mi pregunta principal se reduce a unos pocos resultados aquí:
- ¿Es necesario tener estos documentos, políticas, DRP, BCP, etc., creados desde cero para reforzar la seguridad y llevar la tarea en cuestión?
- ¿La ISO 27001 requiere que todos estos estén allí previamente? y en caso afirmativo, ¿cómo se habían auditado todavía en primer lugar, pero ninguna administración había hecho avanzar las faltas de documentación, políticas, etc.?
- Si vamos a proporcionar garantías serias de riesgo, ¿deberíamos proporcionarles otro servicio para crear estos documentos, políticas o debería estar cubierto junto con SNA? (Sé que este es un punto de vista ejecutivo, pero aún se necesitan opiniones generales)