¿Cuál es el estándar de auditoría apropiado para una firma de abogados?

Querrá consultar la Ley de protección de datos (o su equivalente en su jurisdicción), ya que establece pautas para la protección de datos personales confidenciales, que incluyen datos médicos. La redacción en él, y en documentos similares, es bastante imprecisa, con frases como "protección adecuada", lo cual no es útil, pero básicamente apunta a presionar a las organizaciones para que tengan que evaluar qué deben hacer con respecto a esta información.

También la familia ISO27000 es ahora un conjunto bastante útil de estándares de la industria. ISO27002 es apropiado para casi todas las organizaciones, por lo que si bien no es posible que su organización esté certificada como compatible con 27002, puede usarla como un componente clave.

Consulte la ISF , y específicamente su Norma de buenas prácticas. Para citar la ISF:

  

La Norma representa parte de la   Gestión de riesgos de información de ISF.   conjunto de productos y se basa en una   riqueza de material, investigación en profundidad,   y el amplio conocimiento y   experiencia práctica de los miembros ISF   en todo el mundo.

     

El Estándar se actualiza al menos cada dos años para:

     

responder a las necesidades de las principales organizaciones internacionales       Refinar áreas de mejores prácticas para la seguridad de la información.       Refleja el pensamiento más actualizado en seguridad de la información.       permanecer alineado con otros estándares relacionados con la seguridad de la información, como ISO 27002 (17799), COBIT v4.1 y PCI / DSS   • incluir información sobre los últimos "temas candentes".

La otra forma de hacerlo es hacer que los socios de la firma de abogados evalúen su riesgo / responsabilidad / daño a la reputación si los registros de los clientes se dañaron, se perdieron o se publicaron. Esto puede facilitar la compra para definir sus requisitos de seguridad.

Las dos respuestas anteriores son muy útiles, pero me gustaría agregar la siguiente advertencia. Dirijo una empresa de servicios regulatorios y obtuvimos la certificación ISO 27001. Lo único que comunicaría a cualquiera que esté pensando en certificarse es recordar que estar certificado según una norma no es como adquirir un talismán mágico que evita todo mal (y juicios). Debido a que estas normas no son obligatorias y la certificación es voluntaria, su protección ante los tribunales contra la reparación legal siempre se reduce a la diligencia debida.

En otras palabras, si un magistrado cree que le ha otorgado a la información confidencial una exposición indebida, se lo ignorará, independientemente de si tiene ISO 27001 o no. Sin embargo, el punto de la certificación, y esto es realmente importante de recordar, es que para obtenerlo debe ser totalmente metodológico y cuidadoso, enumerar todas sus responsabilidades, evaluarlas y abordarlas con medidas correctivas. Esto significa que al final del proceso de certificación, su empresa estará mucho más vigilante y 'endurecida' para pedir prestado un término de administrador de sistemas.

Tengo un sesgo hacia ISO 27001 en lugar de SOX, etc., ya que generalmente se acepta que ISO cubre los requisitos para prácticamente todas las demás normas. PCI tiene algunas peculiaridades, como la separación de las instalaciones de procesamiento y otras normas pueden ser prescriptivas sobre cosas particulares, pero aún así puede implementarlas dentro de un marco ISO, y probablemente hará un mejor trabajo al mismo tiempo.

Un último punto que también se ha mencionado ya de manera tangencial, es que un buen sistema basado en la evaluación de riesgos le ahorrará dinero. Antes de empezar a hacerlo, quería el firewall más caro, el lector de tarjetas más inteligente, la conmutación por error perfecta en múltiples sitios y me preocupaba por las especificaciones. Pero cuando ha realizado una evaluación de riesgos adecuada, comienza a darse cuenta de que en realidad nunca eliminará totalmente el riesgo, por lo que, según la ley de rendimientos decrecientes, es mejor gastar su dinero sabiamente que aspirar a la máxima protección. Al final del día, una de sus mayores vulnerabilidades son sus empleados. Así que ahorre dinero a su empresa y organice algunas sesiones de capacitación del personal.

Al ampliar la última pequeña frase de la respuesta de @Rory, es posible que desee reconsiderar su enfoque. En lugar de buscar una regulación adecuada que pueda usar, pídale a su asesor experto que realice un análisis de seguridad centrado en los activos y basado en el riesgo empresarial. .

Es decir, no se preocupe por los estándares genéricos, concéntrese en lo que es importante para su negocio : esto podría incluir el robo de información confidencial del cliente, la falta de disponibilidad de registros (lo que podría evitar que continúen las horas facturables), daños a la reputación y demás. Luego, la revisión podría centrarse en estos temas y, de acuerdo con su estimación de valor, examinar las formas en que son vulnerables a los daños.

(Por supuesto, la revisión de seguridad también debe identificar cualquier regulación o ley aplicable, si existe alguna, este puede ser el mayor riesgo para la empresa).

Esto proporcionaría una gran explosión (o la falta de ella) para su seguridad / dólar.

Encontramos que algunos de nuestros clientes legales se están moviendo hacia ISO 27001. Debido a esto, creamos una hoja de ruta (o guía). Siéntase libre de descargarlo y usarlo como referencia si está considerando el movimiento en esa dirección.

ISO 27002 (anteriormente ISO 17799) es una "colección" de controles de seguridad (a menudo referidos como mejores prácticas) que a menudo se usan como un "estándar de seguridad".

ISO 27001 es un sistema de gestión de seguridad de la información (SGSI): un proceso lógico y estructurado mediante el cual una empresa puede determinar qué controles de seguridad (en gran parte de la colección ISO 27002) debe implementar para mantener el riesgo de seguridad de la información. Un nivel aceptable. Este enfoque evoluciona ISO 27002 al definir un proceso formal y auditable para determinar qué controles son relevantes y el alcance / rigor necesario para esos controles.