Consejo / opinión apreciada.
-
En última instancia, a nuestra empresa le gustaría obtener la certificación ISO27001: 2013, pero eso está lejos. Mientras tanto, queremos poder llegar al punto en el que podamos "atestiguar" el cumplimiento (similar al AOC de PCI DSS). ¿Existe tal mecanismo para ISO27001: 2013? ¿Es posible que un auditor externo confirme el "progreso hacia el cumplimiento" o lo certificará una tercera parte basándose en una auditoría que establezca el cumplimiento total?
-
Nuestra compañía se divide efectivamente en 2 unidades de negocio dentro de la misma estructura corporativa. Prevemos que el alcance para el cumplimiento existiría casi por completo dentro de una de esas unidades. Si presentamos ese alcance a un auditor externo, pero el auditor sintió que el alcance no era lo suficientemente amplio como para abordar completamente el riesgo de seguridad de la información dentro de la compañía, ¿es probable que el auditor acepte la certificación?
En otras palabras, ¿un auditor externo solo certificará a nivel corporativo, o puede certificar funciones particulares dentro de una estructura corporativa?