ISO 27001 & 22301 - Expert Advice Community

Home / ISO 27001 & 22301

Discussions

Top Contributors

Expert

Rhand Leal

4151
Discussions
Expert

Carlos Pereira da Cruz

1915
Discussions
Expert

Dejan Kosutic

365
Discussions

Most Popular Tags

Product: Conformio Product: ISO 27001 Documentation Toolkit Product: ISO 13485 & MDR Integrated Documentation Toolkit ISO 27001 Product: ISO 27001 & ISO 22301 Premium Documentation Toolkit ISO 9001 Risk Assessment Product: ISO 13485 Documentation Toolkit ISMS Internal Audit register of requirements Product: ISO 27001/Risk Assessment Table Product: ISO 27001 & ISO 27017 & ISO 27018 Cloud Documentation Toolkit AS9100 Product: EU GDPR Documentation Toolkit
Select
CREATE NEW TOPIC +
Guest

Guest

Create New Topic As guest or Sign in

HTML tags are not allowed

Select

Assign topic to the user

  • Independent Contractor Contact

    1: How do I as an individual convince companies to take up my services as an ISMS expert individual contractor

    2: if I'm ISMS expert working on my own how do I convince companies to take me on as an Independent contractor

  • Risk Treatment - Selection Of Controls

    When selecting "selection of controls" in the risk treatment, there is only the option to select one treatment for that risk. If we had multiple controls that we want to implement, how do we go about depicting that on the risk treatment?

  • Scope of work

    Can we choose the Scop of ISMS for IT department only? If cant, how long it takes to get certified

  • Updating to ISO 27001:2022

    We began implementing ISO 27001:2013 but we would like to transition to the 2022 version. We have not been certified yet. Would it be possible to make this change?

  • Questions about vulnerability analysis

    1. El análisis de vulnerabilidades técnicas a los activos de información los puede hacer la misma organización o los debería contratar con un proveedor externo especializado en seguridad ?

    2. la empresa compró un appliance para el análisis de vulnerabilidades técnicas a los activos digitales, el dispositivo será gestionado por el personal del área de sistemas, eso podría generar una no conformidad en caso de una auditoría de tercera parte?

    3, Cuáles son las recomendaciones para la gestión de los análisis de vulnerabilidades y Pruebas de intrusión a los activos digitales?

  • Set of ISO 27001 questions

    1. Que es el etiquetado de datos? a qué activos aplica el etiquetado de datos?

    Cuales son las buenas prácticas para el etiquetado de datos?
    me pueden dar ejemplos de etiquetado de datos?

    2. Que relación tienen la tasación de activos y/O  identificar el nivel de importancia del activo  con el análisis de riesgos?
    Finalmente para que me sirve la tasación de activos?

    3. El nivel de importancia de los activos calculado en la tasación de activos a partir del análisis de  la confidencialidad, la integridad y la disponibilidad  del activo es lo que se utiliza para estimar en el análisis de riesgos el impacto en el negocio si se materializa un riesgo?

    4. Cuales son los procesos de seguridad de la Información que se deben documentar?

    5. Cómo se pueden monitorear los riesgos de seguridad de la información, y el plan de tratamiento de los riesgos?

    6. Qué plantillas puedo utilizar para monitorear los riesgos y el plan de tratamiento de Riesgos?

    7. Cuando voy a recibir la actualización del toolkit con la nueva versión de iso 27001:2022

  • Documents missing in toolkit

    Can you please advise if there are some documents that cover vulnerability management, or exception management.

    It was nt possible to find "vulnerability management, or exception management" in the toolkit.

  • Question about Annex A and SOA

    I am now working on the SOA document and am looking at Annex A chapter 7. We do not have a physical office / building and are working remote. That means that Annex A 7.1 , 7.2 , 7.3, 7.4 and 7.5 are not applicable to us?  But are mentioned in a contract with the datacenter instead?

  • ISO 27001 Vs NIST

    What are the main diffrences between ISO 27001 and NIST? How can I know what is best for any organization?

  • Questions about information security risks ISO 27001

    1. Que tan amplio, completo y detallado debe ser un análisis y tratamiento de riesgos de seguridad de la Información?

    2. El análisis  y el plan de tratamiento de riesgos se debe realizar también a:

    Personas
    Procesos
    Instalaciones Físicas
    Activos No digitales

    O solo se le hace a los activos digitales como servidores, aplicaciones, servicios?

    3. Como se debe describir correctamente un riesgo, en algunos ejemplos que he visto de internet veo que redactan amenazas como riesgos, incluso he visto casos donde el riesgo lo escriben como el atributo de seguridad que podría verse afectado.

    4. En la descripción de un riesgo debe tener explícito la amenaza y la vulnerabilidad que podría ser aprovechada por  la amenaza?

    5. Que guías puedo usar para la evaluación de los controles existentes y qué metodología puedo usarse para recalcular el riesgo luego de calificar los controles existentes y determinar qué tanto se afecta la probabilidad de ocurrencia y/O  el impacto del riesgo?

    6. A un servidor web se le hizo un análisis de vulnerabilidades con un software de análisis de seguridad y no se encontraron vulnerabilidades , quiere decir que no tiene riesgos? Porque para que existan riesgos deben haber vulnerabilidades.

    Sin embargo a pesar de que los análisis de seguridad no encontraron vulnerabilidades  creería que sí se deberían redactar riesgos o cómo se gestionan estos casos donde aparentemente no hay vulnerabilidades?
Page 18 of 544 pages