Actualmente estamos implementando la norma ISO27001, tengo una pregunta relacionada con la documentación de la evaluación de riesgos.
Elegimos EBIOS como nuestro método de evaluación de riesgos, y encontré algunas plantillas de los documentos obligatorios en la norma ISO 27001 En el contexto y en el contexto EBIOS, son muy diferentes entre sí.
Mi pregunta es: ¿necesito producir dos tipos de documentos aunque tengan el mismo contenido, o los documentos EBIOS son suficientes en esta situación?
Para cumplir con este aspecto del capítulo 6 de la norma, debe documentar que tiene una manera objetiva de evaluar el riesgo y qué método elige para hacerlo. Los resultados de la evaluación de riesgos deben ser reproducibles (es decir, si hago una evaluación de riesgos y usted realiza una evaluación de riesgos del mismo proceso, debemos terminar con las mismas "puntuaciones" de riesgo).
Con el método que utilice y cómo lo documente, a un auditor no le importará. Siempre que logre lo que describí anteriormente y pueda explicar por qué ese método específico es adecuado para su organización.
Lea otras preguntas en las etiquetas risk-management iso27001