ISO 27001: preguntas de certificación 2013

6

Consejo / opinión apreciada.

  1. En última instancia, a nuestra empresa le gustaría obtener la certificación ISO27001: 2013, pero eso está lejos. Mientras tanto, queremos poder llegar al punto en el que podamos "atestiguar" el cumplimiento (similar al AOC de PCI DSS). ¿Existe tal mecanismo para ISO27001: 2013? ¿Es posible que un auditor externo confirme el "progreso hacia el cumplimiento" o lo certificará una tercera parte basándose en una auditoría que establezca el cumplimiento total?

  2. Nuestra compañía se divide efectivamente en 2 unidades de negocio dentro de la misma estructura corporativa. Prevemos que el alcance para el cumplimiento existiría casi por completo dentro de una de esas unidades. Si presentamos ese alcance a un auditor externo, pero el auditor sintió que el alcance no era lo suficientemente amplio como para abordar completamente el riesgo de seguridad de la información dentro de la compañía, ¿es probable que el auditor acepte la certificación?

    En otras palabras, ¿un auditor externo solo certificará a nivel corporativo, o puede certificar funciones particulares dentro de una estructura corporativa?

pregunta Garreth McDaid 28.01.2016 - 11:56
fuente

2 respuestas

3
  1. La certificación de los organismos de acreditación solo se produce si cumple con los requisitos establecidos dentro del alcance que ha establecido para su empresa. Puede solicitar a los auditores de ISO27001 que realicen una evaluación de brechas y un estado actual, y pueden hacer recomendaciones de nivel bajo o alto para mejorar su SGSI o ayudar con la implementación. Tenga en cuenta que, dependiendo de la cantidad de consejos que se le hayan dado, es posible que ya no se les permita realizar la auditoría (no se le permite auditar su propio trabajo).
  2. Su certificado indica qué está cumpliendo y cuál es el alcance de su certificación. Por lo tanto, si no puede declarar a sus clientes que cumple con ISO27001 para toda su empresa. Usted solo cumple con esa unidad de negocios en particular dentro de su organización.

Pueden certificar ciertas partes de su empresa según su alcance. Digamos que desea, por ejemplo, solo certificar sus centros de datos, entonces puede, pero también se indicará claramente con respecto a su certificado.

    
respondido por el Lucas Kauffman 28.01.2016 - 12:21
fuente
1
  1. Sí, es posible. Por ejemplo, tengo varios clientes que usaron un informe de aseguramiento como ISAE 3000 para obtener cierta seguridad sobre su alineación con la norma ISO 27001. Pero tenga en cuenta que esto no es una certificación.

  2. El alcance será una de las primeras cosas que verá su auditor. Si piensan que el alcance no es el adecuado, se lo informarán de inmediato y probablemente encontrará cómo abordar el problema juntos.

  

En otras palabras, ¿un auditor externo solo se certificará a nivel corporativo o puede certificar funciones particulares dentro de una estructura corporativa?

El auditor puede certificar una función, unidad de negocio o proceso de negocio en particular. Realmente depende de su empresa, su perfil de riesgo, etc.

En cualquier caso, mi consejo para usted sería tener esa discusión con sus auditores en este momento para asegurarse de que está en el camino correcto.

    
respondido por el ack__ 28.01.2016 - 14:33
fuente

Lea otras preguntas en las etiquetas