问什么标准的替代ISO 27001可以用于一个小企业？

EN

“好吧，我们不能达到这个标准，所以让我们来找一个我们可以不费太多功夫就能达到的标准”

这与一个注重安全的组织的心态截然相反，尽管我同意(在5分钟的演讲之后)假设27001可能有点工作，但你必须在没有认证的情况下生活。

而不是试图找到一个任意的认证适合您的组织，您可能只是想看看标准，并尽可能多地应用到5人组织。诚实地说，从安全的角度来看，认证是一文不值的，但是会花费你很多钱。实际上，坚持明智的做法实际上是自食其果。

主要的问题是你是否想要获得任何形式的认证。

如果认证不是您的目标，您可以简单地选择ISO27001并将其作为您选择和选择的框架。积极应用SOA的基于风险的方法，并排除任何不解决严重风险的控制。

如果您确实想获得认证，我建议询问您当地的认证机构。你的问题中没有包括一个国家，这使得你很难指出任何地方。我知道，在欧洲，一些测试机构也提供定制认证，你应该能够在其中找到一些东西。他们会很乐意帮你选对的，我肯定。

只要您想要构建一个流程系统来保护您的信息，您就可以为任何规模的组织实现ISO 27001。

在您的例子中，文档可能是最少的(一个包含策略和过程的文档，嵌入了SoA和一个风险登记册)。

ISO从不要求您提供大量文档。