ISO 27001:2013年认证问题
ISO 27001:2013年认证问题
提问于 2016-01-28 10:56:27
建议/意见得到赞赏。
- 最终,我们公司想要达到is 27001:2013认证,但这是一段距离。在此期间,我们希望能够达到这样的程度,即我们可以“证明”遵从性(类似于PCI DSS AOC)。Is 27001:2013是否有这样的机制?是否有可能让第三方审计师确认“合规进展情况”,或者第三方是否只有在审核的基础上才能证明完全符合规定?
- 本公司在同一公司架构内有效地分为两个业务单位。我们预计,遵守的范围将几乎完全存在于其中一个单位内。如果我们向第三方审计师介绍了这一范围,但审计师认为该范围不够广,不足以充分解决公司内部的信息安全风险,那么审计师是否可能同意认证?换句话说,第三方审计师是否只会在公司层面上进行认证,或者他们是否能够认证公司结构中的特定职能?
回答 2
Security用户
发布于 2016-01-28 11:21:46
- 只有当您确实符合您为公司设置的范围内,认证机构才会进行认证。您可以要求ISO27001审计师执行差距评估和当前状态,他们可以执行低级别或高级别的建议,以改进您的ISMS或协助实施。请注意,根据给您的建议的数量,他们可能不再被允许执行审核(您不被允许审计您自己的工作)。
- 您的证书说明您所遵循的内容以及您的证书的范围。因此,如果您不能向您的客户声明您是符合ISO27001的整个公司。您只对组织中的特定业务单元兼容。
他们可以证明你公司的某些部分取决于你的范围。例如,假设您只想验证您的数据中心,那么您可以这样做,但它也将清楚地说明您的证书。
Security用户
发布于 2016-01-28 13:33:45
- 是的,有可能。例如,我有几个客户端使用保证报告(如ISAE 3000 )来确保它们与ISO 27001标准的一致性。但请注意,这不是认证。
- 范围将是您的审计师首先要考虑的事情之一。如果他们认为范围不够,他们会立即向你报告,你可能会发现如何一起解决这个问题。
换句话说,第三方审计师是否只会在公司层面上进行认证,或者他们是否能够认证公司结构中的特定职能?
审核员可以证明一个特定的职能,业务单位或业务流程。这真的取决于你的公司,你的风险简介等。
无论如何,我对你的建议是现在就和你的审计师进行讨论,以确保你走上正确的轨道。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/112002
复制相关文章
相似问题
腾讯云开发者
