Guest
I noticed that the ISO 27001 package contains the Change Management Policy document (A12.2), but not a document to provide guidance on, managing, tracking, and documenting the change-steps.
Is there an industry standard “Change Management” document to manage, track, and document infrastructure or application changes?
Thank you for your assistance.
For the Statement of Applicability, are we to justify ONLY what we would like to implement, or do we need to go through each control listed in Annex A and explain why we have (or haven't) decided to implement them?
1: How do I as an individual convince companies to take up my services as an ISMS expert individual contractor
2: if I'm ISMS expert working on my own how do I convince companies to take me on as an Independent contractor
When selecting "selection of controls" in the risk treatment, there is only the option to select one treatment for that risk. If we had multiple controls that we want to implement, how do we go about depicting that on the risk treatment?
Can we choose the Scop of ISMS for IT department only? If cant, how long it takes to get certified
We began implementing ISO 27001:2013 but we would like to transition to the 2022 version. We have not been certified yet. Would it be possible to make this change?
1. El análisis de vulnerabilidades técnicas a los activos de información los puede hacer la misma organización o los debería contratar con un proveedor externo especializado en seguridad ?
2. la empresa compró un appliance para el análisis de vulnerabilidades técnicas a los activos digitales, el dispositivo será gestionado por el personal del área de sistemas, eso podría generar una no conformidad en caso de una auditoría de tercera parte?
3, Cuáles son las recomendaciones para la gestión de los análisis de vulnerabilidades y Pruebas de intrusión a los activos digitales?
1. Que es el etiquetado de datos? a qué activos aplica el etiquetado de datos?
Cuales son las buenas prácticas para el etiquetado de datos?
me pueden dar ejemplos de etiquetado de datos?
2. Que relación tienen la tasación de activos y/O identificar el nivel de importancia del activo con el análisis de riesgos?
Finalmente para que me sirve la tasación de activos?
3. El nivel de importancia de los activos calculado en la tasación de activos a partir del análisis de la confidencialidad, la integridad y la disponibilidad del activo es lo que se utiliza para estimar en el análisis de riesgos el impacto en el negocio si se materializa un riesgo?
4. Cuales son los procesos de seguridad de la Información que se deben documentar?
5. Cómo se pueden monitorear los riesgos de seguridad de la información, y el plan de tratamiento de los riesgos?
6. Qué plantillas puedo utilizar para monitorear los riesgos y el plan de tratamiento de Riesgos?
7. Cuando voy a recibir la actualización del toolkit con la nueva versión de iso 27001:2022
Can you please advise if there are some documents that cover vulnerability management, or exception management.
It was nt possible to find "vulnerability management, or exception management" in the toolkit.
I am now working on the SOA document and am looking at Annex A chapter 7. We do not have a physical office / building and are working remote. That means that Annex A 7.1 , 7.2 , 7.3, 7.4 and 7.5 are not applicable to us? But are mentioned in a contract with the datacenter instead?